FinFisher

Перейти к навигацииПерейти к поиску
FinFisher
Логотип программы FinFisher
ТипТроянская программа
Сайтfinfisher.com/Fin… (англ.)
Логотип Викисклада Медиафайлы на Викискладе

FinFisher (также известно как FinSpy[1]) — программное обеспечение британской компании Gamma Groupu, является программой-шпионом (англ. spyware)[2][3]. Троянская программа, относится к подтипу Remote Access (удаленный просмотр рабочего стола), устанавливается на компьютер жертвы, «притворяясь» доверенным программным обеспечением, занимается отслеживанием данных пользователя[1][2][4].

История

  • В марте 2011 года в ходе Арабской весны вскрылся факт использования FinFisher правительством Египта. Подтверждением данной информации стал контракт, найденный оппозицией правительства, на лицензионное использование FinFisher стоимостью €287,000 ($353,000)[2][5].
  • В ноябре 2011 года WikiLeaks опубликовала серию видео, наглядно демонстрирующую, как можно использовать FinFisher для получения данных пользователя. В видео показали такие возможности программы как отслеживание активностей пользователей в сети отеля, прерываний скайп-сессий, чтение паролей и приватных файлов[6]. Также WikiLeaks продемонстрировала использование уязвимости iTunes для заражения компьютера пользователя[6][7]. Статья об использованной уязвимости в iTunes была опубликована ещё в 2008 году журналистом Брайоном Кребсом (англ. Brian Krebs), однако к 2011 году компания Apple не устранила её[6][8].
  • В апреле 2013 года сообщество Mozilla опубликовало в своем блоге информацию об использовании FinFisher под видом продукта Mozilla Firefox[9].
  • В 2014 году Kидане (англ. Kidane), гражданин США, подал иск в суд на Эфиопское правительство о нарушении гражданских прав, об отслеживании личной информации. Агентами правительства Эфиопии было направлено электронное письмо с файлом Word, при нажатии на который, на компьютер Кидане незаметно установилась программа FinFisher. Программой отслеживались и передавались Эфиопскому правительству такие данные, как просматриваемые web-cтраницы, электронная переписка, записи скайп-звонков[10][11].

Согласно анализу Моргана Маркус-Боира (англ. Morgan Marquis-Boire), исследователя Citizen Lab университета в Торонто (англ.University of Toronto’s  Munk School of Global Affairs) и Билла Маркзака (англ. Bill Marczak), аспиранта Калифорнийского университета в Беркли более 25 стран использовали программное обеспечение FinSpy к 2013 году[12]. На 2013 год в этот список стран вошли Австрия, Бахрейне, Бангладеш, Великобритания, Бруней, Болгария, Канада, Чехия, Эстония, Эфиопия, Финляндия, Германия, Венгрия, Индия, Индонезия, Япония, Латвия, Литва , Малайзия, Мексика, Монголия, Нидерланды, Нигерия, Пакистан, Панама, Румыния, Сербия, Сингапур, страны Южной Африки, Турция, Туркмения, Объединенные Арабские Эмираты, Соединенные Штаты, Венесуэла и Вьетнам[12].

В сентябре 2017 года компания ESET опубликовала информацию о том, что около семи стран пострадало от обновленной версии FinFisher. Для заражения использовалась атака посредника, и, вероятно, в заражении принимали участие крупные интернет провайдеры. По словам аналитика компании при загрузке лицензионного программного обеспечения такого как Skype, WhatsApp, пользователь перенаправлялся провайдером на страницу с фальшивым программным обеспечением[13].

Описание

FinFisher предоставляет решение для удаленного отслеживания действий пользователей. Это позволяет правительствам решать задачи мониторинга мобильных целей, которые регулярно меняют местоположение, используют зашифрованные и анонимные каналы связи и поездки на международном уровне[2][3][10].

Для работы программы используется сервер FinSpy Master и сервера FinSpy Relay, которые являются промежуточным звеном и берут на себя функциональность C&C-cерверов[14].

Как только FinSpy установлен в компьютерной системе, он будет доступным, как только подключится к Интернету, независимо от того, где в мире система находится[10][15].

Продукт FinFisher компании Gamma предоставляет пользователю следующую функциональность:

  • Отслеживание онлайн активностей по Skype, Messenger, VoIP, электронной почте, web-страницам;
  • Отслеживание активностей в интернете в социальных сетях, блогах, файловых хранилищах;
  • Доступ к файлам, хранящимся на жестком диске;
  • Использование встроенного в компьютер жертвы оборудования, например, микрофона или камеры;
  • Отслеживание местонахождения жертвы[6][15].

Компания Gamma представляет использование программы, как замкнутый цикл из шести пунктов:

  • Планирование и определение жертвы;
  • Сбор информации;
  • Обработка полученной информации;
  • Интеллектуальный анализ данных;
  • Распространение информации;
  • Переоценка[15].

Поддерживаемые операционные системы

В 2011 году WikiLeaks опубликовала продуктовую документацию FinFisher. На момент 2011 года программой поддерживались следующие операционные системы:

  • Microsoft Windows 2000 Clean / SP1 / SP2 / SP3 / SP4
  • Microsoft Windows XP Clean / SP1 / SP2 / SP3
  • Microsoft Windows Vista Clean / SP1 / SP2 / SP3 (32 Bit & 64 Bit)
  • Microsoft Windows 7 (32 Bit & 64 Bit)
  • Mac OS X  10.6.x
  • Linux 2.6[6][7]

Обновление программы

Программное обеспечение FinFisher устроено таким образом, что все обновления передаются сервером обновлений Gamma через определенный промежуток времени.

Каждое обновление передается зашифрованным файлом. Количество обновлений в год зависит от развития IT индустрии[7][15].

Метод заражения

Для заражения компьютера пользователя распространенным методом является выдача FinFisher за лицензионное доверенное обновление[1][2][4]. Наглядным примером такого метода является незаконное использование бренда Mozilla, выплывшее на свет в 2014 году[9].

В 2017 компания ESET опубликовала подробный анализ FinFIsher. Одна из схем, используемых для заражения — атака посредника. При загрузке лицензионного программного обеспечения пользователь перенаправляется на сайт с фальшивым программным обеспечением. Для изменения ссылки для скачивания используется ответ Tempory Redirect протокола HTTP, который говорит о том, что запрашиваемый контент перенесен на другую страницу. Таким образом, всё изменение происходит «внутри» протокола HTTP, и пользователь не догадывается о подмене[16].

Также используется отправка сообщений на электронную почту, содержащих файлы, имитирующие обычные документы, но по факту устанавливающие FinSpy[1][2][4]. Например, компьютер Кидане (англ. Kidane), гражданина США, пострадавшего от слежки Эфиопским правительством, был заражен посредством запуска фальшивого документа Word [10][11].

Продукт FinFisher компании Gamma содержит два компонента:

  • FinSpy Master and Proxy — компонент, отвечающий за контроль отслеживаемых систем;
  • FinSpy Agent — компонент, отвечающий за графический интерфейс для пользователя[6][7].

Меры предосторожности и обнаружение

Билл Марчак (англ. Bill Marczak), кандидат наук Калифорнийского университета в Беркли, провел анализ FinFisher и сделал вывод, что стоит опасаться программного обеспечения FinFisher для мобильных устройств.

Программное обеспечение FinSpy Mobile содержит в себе гораздо большую функциональность, чем программное обеспечение FinFisher для компьютера.

В основную функциональность программы для мобильного входит сбор сообщений, местоположения, списков контактов, записывание данных, поступающих на микрофон и других распространенных функций мобильных устройств[14][17][18].

Чтобы обезопасить себя, пользователю не стоит загружать и открывать файлы от недоверенных отправителей. Также необходимо ограничить доступ к мобильному устройству посторонним людям. Хорошей практикой является установление на устройство пароля[14].

В 2012 году международный разработчик антивирусного программного обеспечения компания ESET заявила, что троянская программа FinFisher обнаруживается их программным обеспечением и имеет идентификатор «Win32 / Belesak.D»[19][20].

В 2013 году эксперты из Citizen Lab обнаружили более 25 стран, использующих FinFisher. Для обнаружение использовалась утилита Zmap[14].

В октябре 2014 Лаборатория Касперского в своем блоге в статье о легальном вредоносном ПО, в число которого входит FinFisher, упоминала, что начиная с Kaspersky Antivirus 6 (MP4) программное обеспечение FinFisher успешно обнаруживает[21].

В 2014 году FinFisher было также добавлено в базу данных троянских программ антивируса Dr. Web[22].

Примечания

  1. 1 2 3 4 Nicole Perlroth (2012-08-30). "Software Meant to Fight Crime Is Used to Spy on Dissidents". The New York Times. Архивировано 31 августа 2012. Дата обращения: 31 августа 2012.
  2. 1 2 3 4 5 6 "UK firm denies supplying spyware to Mubarak's secret police" (англ.). Архивировано 27 ноября 2011. Дата обращения: 19 декабря 2017.
  3. 1 2 Perlroth, Nicole (2012-08-30). "FinSpy Software Is Tracking Political Dissidents". The New York Times (англ.). Архивировано 31 августа 2012. Дата обращения: 20 декабря 2017.
  4. 1 2 3 Rosenbach, Marcel (2011-11-22). "Troublesome Trojans: Firm Sought to Install Spyware Via Faked iTunes Updates". Spiegel Online. Архивировано 4 января 2018. Дата обращения: 19 декабря 2017.
  5. Perlroth, Nicole. "Elusive FinSpy Spyware Pops Up in 10 Countries". Bits Blog (англ.). Архивировано 22 декабря 2017. Дата обращения: 19 декабря 2017.
  6. 1 2 3 4 5 6 Greenberg, Andy. "WikiLeaks Posts Spy Firm Videos Offering Tools For Hacking iTunes, Gmail, Skype". Forbes (англ.). Архивировано 22 декабря 2017. Дата обращения: 20 декабря 2017.
  7. 1 2 3 4 WikiLeaks - SpyFiles 4 (англ.). wikileaks.org. Дата обращения: 20 декабря 2017. Архивировано 24 декабря 2017 года.
  8. "Security Fix — Exploit Prods Software Firms to Update Their Updaters". Архивировано 25 сентября 2016. Дата обращения: 20 декабря 2017. {{cite news}}: line feed character в |title= на позиции 13 ()
  9. 1 2 Protecting our brand from a global spyware provider – The Mozilla Blog (англ.). The Mozilla Blog. Дата обращения: 19 декабря 2017. Архивировано 2 мая 2013 года.
  10. 1 2 3 4 Janus Kopfstein. Hackers Without Borders (англ.) // The New Yorker : magazine. — Condé Nast, 2014-03-10. — ISSN 0028-792X. Архивировано 22 декабря 2017 года.
  11. 1 2 "Kidane v. Ethiopia". Electronic Frontier Foundation (англ.). 2014-02-17. Архивировано 28 февраля 2018. Дата обращения: 20 декабря 2017.
  12. 1 2 Perlroth, Nicole. "Researchers Find 25 Countries Using Surveillance Software". Bits Blog (англ.). Архивировано 22 декабря 2017. Дата обращения: 19 декабря 2017.
  13. ESET finds internet providers may be involved in latest FinFisher surveillance campaigns (англ.). www.eset.com. Дата обращения: 22 декабря 2017. Архивировано 23 декабря 2017 года.
  14. 1 2 3 4 "Lessons Learnt From FinFisher Mobile Spyware". PCMAG (англ.). Архивировано 3 сентября 2012. Дата обращения: 19 декабря 2017.
  15. 1 2 3 4 FinFisher - Excellence in IT Investigation (англ.). www.finfisher.com. Дата обращения: 20 декабря 2017. Архивировано из оригинала 15 октября 2017 года.
  16. "FinFisher campaigns using infamous spyware FinSpy, is in the wind". WeLiveSecurity (англ.). 2017-09-21. Архивировано 22 сентября 2017. Дата обращения: 22 декабря 2017.
  17. "You Only Click Twice: FinFisher's Global Proliferation - Citizen Lab". The Citizen Lab (англ.). 2013-03-13. Архивировано 10 января 2018. Дата обращения: 24 декабря 2017.
  18. "FinSpy and FinFisher spy on you via your cellphone and PC". ESET Ireland (англ.). 2012-09-03. Архивировано 24 декабря 2017. Дата обращения: 24 декабря 2017.
  19. "Finfisher and the Ethics of Detection". WeLiveSecurity (англ.). 2012-08-31. Архивировано 22 декабря 2017. Дата обращения: 19 декабря 2017.
  20. "FinFisher helps people spy on you via your cellphone, for good or evil?". WeLiveSecurity (англ.). 2012-08-30. Архивировано 5 октября 2017. Дата обращения: 19 декабря 2017.
  21. Kaspersky Lab. Кибернаемники и легальное вредоносное ПО. www.kaspersky.ru. Дата обращения: 22 декабря 2017. Архивировано 23 декабря 2017 года.
  22. Dr.Web — библиотека бесплатных утилит. free.drweb.ru. Дата обращения: 22 декабря 2017. Архивировано 23 декабря 2017 года.