FinFisher

FinFisher (tunnetaan myös nimellä FinSpy [1] ) on brittiläisen Gamma Groupun ohjelmisto, joka on vakoiluohjelma [2] [3] . Troijalainen , kuuluu Remote Accesex -alatyyppiin, asennetaan uhrin tietokoneelle, "teeskentelee olevansa" luotettu ohjelmisto ja valvoo käyttäjätietoja [2] [1] [4] .

Historia

• Maaliskuussa 2011 arabikevään aikana tuli ilmi Egyptin hallituksen FinFisherin käyttö . Nämä tiedot vahvistivat hallituksen opposition löytämä sopimus FinFisherin luvanvaraisesta käytöstä arvoltaan 287 000 euroa (353 000 dollaria) [5] [2] .
• Marraskuussa 2011 WikiLeaks julkaisi sarjan videoita, joissa havainnollistetaan, kuinka FinFisheriä voidaan käyttää käyttäjätietojen hankkimiseen. Videolla esitettiin sellaisia ​​ohjelman ominaisuuksia kuin käyttäjien toimintojen seuranta hotelliverkossa, Skype - istuntojen keskeyttäminen, salasanojen ja yksityisten tiedostojen lukeminen [6] . WikiLeaks osoitti myös iTunesin haavoittuvuuden käytön käyttäjän tietokoneen saastuttamiseen [7] [6] . Toimittaja Brian Krebs julkaisi artikkelin iTunesin käytetystä haavoittuvuudesta jo vuonna 2008, mutta vuoteen 2011 mennessä Apple ei ollut korjannut sitä [6] [8] .
• Huhtikuussa 2013 Mozilla -yhteisö julkaisi blogissaan FinFisherin käyttämisestä Mozilla Firefox -tuotteen varjolla [9] .
• Vuonna 2014 Yhdysvaltain kansalainen Kidane nosti kansalaisoikeuksia koskevan kanteen Etiopian hallitusta vastaan ​​henkilötietojen jäljittämisestä. Etiopian hallituksen edustajat lähettivät sähköpostin, joka sisälsi Word -tiedoston , jota napsautettaessa FinFisher asennettiin äänettömästi Kidanen tietokoneelle. Ohjelma seurasi ja välitti Etiopian hallitukselle sellaisia ​​tietoja kuin katsotut verkkosivut , sähköpostikirjeenvaihto, Skype -puhelutiedot [10] [11] .

Yli 25 __ [12] . Vuodelle 2013 tähän luetteloon sisältyi Itävalta , Bahrain , Bangladesh , Iso-Britannia , Brunei , Bulgaria , Kanada , Tšekki , Viro , Etiopia , Suomi , Saksa , Unkari , Intia , Indonesia , Japani , Latvia , Liettua , Malesia , Meksiko , Mongolia , Alankomaat , Nigeria , Pakistan , Panama , Romania , Serbia , Singapore , Etelä-Afrikan maat , Turkki , Turkmenistan , Yhdistyneet arabiemiirikunnat , Yhdysvallat , Venezuela ja Vietnam [12] .

Syyskuussa 2017 ESET julkaisi tiedon, että FinFisherin päivitetty versio vaikutti noin seitsemään maahan. Tartunnan saamiseen käytettiin mies-in-the-break -hyökkäystä , ja on todennäköistä, että suuret Internet-palveluntarjoajat osallistuivat tartuntaan. Yrityksen analyytikon mukaan palveluntarjoaja ohjasi käyttäjän ladattaessa lisensoituja ohjelmistoja, kuten Skype, WhatsApp, sivulle, jossa oli väärennettyjä ohjelmistoja [13] .

Kuvaus

FinFisher tarjoaa ratkaisun käyttäjien toimintojen etäseurantaan. Näin hallitukset voivat vastata haasteeseen seurata säännöllisesti sijaintia vaihtavia, salattuja ja anonyymejä viestintäkanavia käyttäviä matkaviestinkohteita ja matkustaa kansainvälisesti [10] [2] [3] .

Ohjelma käyttää FinSpy Master -palvelinta ja FinSpy Relay -palvelimia, jotka ovat välilinkki ja ottavat käyttöön C&C-palvelimien toiminnallisuuden [14] .

Kun FinSpy on asennettu tietokonejärjestelmään, se on käytettävissä heti, kun se muodostaa yhteyden Internetiin, riippumatta siitä, missä päin maailmaa järjestelmä sijaitsee [15] [10] .

Gamman FinFisher-tuote tarjoaa käyttäjälle seuraavat toiminnot:

• Online-toimintojen seuranta Skypen , Messengerin , VoIP :n, sähköpostin, web-sivujen kautta;
• Seurantatoiminta Internetissä sosiaalisissa verkostoissa, blogeissa, tiedostovarastoissa;
• Pääsy kiintolevylle tallennettuihin tiedostoihin;
• uhrin tietokoneeseen sisäänrakennettujen laitteiden, kuten mikrofonin tai kameran, käyttö;

• Uhrin sijainnin jäljittäminen [6] [15] .

Gamma esittää ohjelman käytön kuuden pisteen suljettuna syklinä:

• Uhrin suunnittelu ja määrittely;
• Tietojen kerääminen;
• Vastaanotetun tiedon käsittely;
• Tietojen louhinta;
• Tiedon levittäminen;
• Uudelleenarviointi [15] .

Tuetut käyttöjärjestelmät

Vuonna 2011 WikiLeaks julkaisi FinFisher-tuotedokumentaation. Vuodesta 2011 lähtien ohjelma tuki seuraavia käyttöjärjestelmiä:

• Microsoft Windows 2000 Clean / SP1 / SP2 / SP3 / SP4
• Microsoft Windows XP Clean / SP1 / SP2 / SP3
• Microsoft Windows Vista Clean / SP1 / SP2 / SP3 (32-bittinen ja 64-bittinen)
• Microsoft Windows 7 (32-bittinen ja 64-bittinen)

• Mac OS X 10.6.x

• Linux 2.6 [6] [7]

Ohjelmapäivitys

FinFisher-ohjelmisto on suunniteltu siten, että Gamma-päivityspalvelin lähettää kaikki päivitykset tietyn ajan kuluttua.

Jokainen päivitys lähetetään salattuna tiedostona. Päivitysten määrä vuodessa riippuu IT-alan kehityksestä [15] [7] .

Tartuntatapa

Tavallinen tapa tartuttaa käyttäjän tietokone on antaa FinFisher lisensoiduksi luotettavaksi päivitykseksi [4] [2] [1] . Selvä esimerkki tästä menetelmästä on Mozilla -brändin laiton käyttö , joka tuli ilmi vuonna 2014 [9] .

Vuonna 2017 ESET julkaisi yksityiskohtaisen analyysin FinFIsheristä. Yksi tartunnan saamiseen käytetyistä järjestelmistä on mies keskellä -hyökkäys . Kun lataat lisensoitua ohjelmistoa, käyttäjä ohjataan sivustolle, jossa on väärennettyjä ohjelmistoja. Latauslinkin vaihtamiseen käytetään HTTP Tempory Redirect -vastausta , joka osoittaa, että pyydetty sisältö on siirretty toiselle sivulle. Siten kaikki muutos tapahtuu HTTP-protokollan "sisällä", eikä käyttäjä ole tietoinen korvaamisesta [16] .

Sillä lähetetään myös sähköpostiviestejä, jotka sisältävät tavallisia asiakirjoja jäljitteleviä tiedostoja, mutta itse asiassa asentavat FinSpyn [4] [2] [1] . Esimerkiksi Etiopian hallituksen valvonnan alaisena olevan Yhdysvaltain kansalaisen Kidanen tietokone sai tartunnan väärennetyn Word -asiakirjan avulla [10] [11] .

Gamman FinFisher-tuote sisältää kaksi komponenttia:

• FinSpy Master and Proxy on valvottujen järjestelmien valvonnasta vastaava komponentti;

• FinSpy Agent on graafisesta käyttöliittymästä vastaava komponentti [6] [7] .

Varotoimet ja havaitseminen

Bill Marczak, UC Berkeley PhD, analysoi FinFisherin ja totesi, että FinFisher-mobiiliohjelmistojen kanssa kannattaa olla varovainen.

FinSpy Mobile -ohjelmisto sisältää paljon enemmän toimintoja kuin FinFisher-työpöytäohjelmisto.

Mobiilisovelluksen päätoimintoihin kuuluu viestien, sijaintien, yhteystietoluetteloiden kerääminen, mikrofonin vastaanottaman tiedon tallentaminen ja muut mobiililaitteiden yleiset toiminnot [17] [18] [14] .

Suojellaksesi itseäsi käyttäjän ei tule ladata ja avata tiedostoja epäluotettavilta lähettäjiltä. Mobiililaitteen käyttö on myös rajoitettava luvattomille henkilöille. On hyvä käytäntö asettaa salasana laitteeseen [14] .

Vuonna 2012 kansainvälinen virustorjuntaohjelmistokehittäjä ESET väitti, että heidän ohjelmistonsa havaitsivat FinFisher-troijalaisen ja että sen tunniste oli "Win32/Belesak.D" [19] [20] .

Vuonna 2013 Citizen Labin asiantuntijat löysivät yli 25 maata käyttävän FinFisheriä. Tunnistamiseen käytettiin Zmap-apuohjelmaa [14] .

Lokakuussa 2014 blogikirjoituksessaan laillisista haittaohjelmista, joihin sisältyy myös FinFisher, Kaspersky Lab mainitsi, että Kaspersky Antivirus 6:n (MP4) jälkeen FinFisher-ohjelmisto on onnistunut havaitsemaan [ 21] .

Vuonna 2014 FinFisher lisättiin myös Dr. Web [22] .

Muistiinpanot

1. ↑ 1 2 3 4 Nicole Perlroth . Rikollisuuden torjuntaan tarkoitettua ohjelmistoa käytetään toisinajattelijoiden vakoilemiseen  (30. elokuuta 2012). Arkistoitu alkuperäisestä 31. elokuuta 2012. Haettu 31. elokuuta 2012.
2. ↑ 1 2 3 4 5 6 Yhdistyneen kuningaskunnan yritys kiistää toimittaneensa vakoiluohjelmia Mubarakin salaiselle  poliisille . Arkistoitu alkuperäisestä 27. marraskuuta 2011. Haettu 19. joulukuuta 2017.
3. ↑ 12 Perlroth , Nicole . FinSpy Software Is Tracking Political Dissidents  , The New York Times (  30. elokuuta 2012). Arkistoitu alkuperäisestä 31. elokuuta 2012. Haettu 20. joulukuuta 2017.
4. ↑ 1 2 3 Rosenbach, Marcel . Ongelmalliset troijalaiset: Yritys yritti asentaa vakoiluohjelmia väärennettyjen iTunes-päivitysten kautta , Spiegel Online  (22. marraskuuta 2011). Arkistoitu alkuperäisestä 4. tammikuuta 2018. Haettu 19. joulukuuta 2017.
5. ↑ Perlroth, Nicole . Vaikea FinSpy-vakoiluohjelma ilmestyy 10 maassa  , Bits Blog . Arkistoitu alkuperäisestä 22. joulukuuta 2017. Haettu 19. joulukuuta 2017.
6. ↑ 1 2 3 4 5 6 Greenberg, Andy . WikiLeaks julkaisee vakoiluyritysvideoita, jotka tarjoavat työkaluja iTunesin, Gmailin, Skypen  (englanniksi) ja Forbesin hakkerointiin . Arkistoitu alkuperäisestä 22. joulukuuta 2017. Haettu 20. joulukuuta 2017.
7. ↑ 1 2 3 4 WikiLeaks - SpyFiles 4  . wikileaks.org. Haettu 20. joulukuuta 2017. Arkistoitu alkuperäisestä 24. joulukuuta 2017.
8. ↑ [ http://voices.washingtonpost.com/securityfix/2008/07/holes_in_software_autoupdate_f_1.html Tietoturvakorjaus – Hyödynnä Prods-ohjelmistoyrityksiä päivittääkseen päivittäjät]. Arkistoitu alkuperäisestä 25. syyskuuta 2016. Haettu 20. joulukuuta 2017.
9. ↑ 1 2 Tuotemerkkimme suojaaminen maailmanlaajuiselta vakoiluohjelmien toimittajalta – Mozilla-  blogi . Mozillan blogi. Käyttöpäivä: 19. joulukuuta 2017. Arkistoitu alkuperäisestä 2. toukokuuta 2013.
10. ↑ 1 2 3 4 Janus Kopfstein. Hakkerit ilman rajoja  //  The New Yorker  : -lehti. — Conde Nast , 10.3.2014. — ISSN 0028-792X . Arkistoitu alkuperäisestä 22. joulukuuta 2017.
11. ↑ 1 2 Kidane v. Etiopia  (englanti) , Electronic Frontier Foundation  (17. helmikuuta 2014). Arkistoitu alkuperäisestä 28. helmikuuta 2018. Haettu 20. joulukuuta 2017.
12. ↑ 12 Perlroth , Nicole . Tutkijat löytävät 25 valvontaohjelmistoa käyttävää maata  , Bits Blog . Arkistoitu alkuperäisestä 22. joulukuuta 2017. Haettu 19. joulukuuta 2017.
13. ↑ ESET havaitsee, että internet-palveluntarjoajat voivat olla mukana uusimmissa FinFisher-valvontakampanjoissa  . www.eset.com. Haettu 22. joulukuuta 2017. Arkistoitu alkuperäisestä 23. joulukuuta 2017.
14. ↑ 1 2 3 4 FinFisher Mobile  Spyware , PCMAG , oppitunteja . Arkistoitu alkuperäisestä 3. syyskuuta 2012. Haettu 19. joulukuuta 2017.
15. ↑ 1 2 3 4 FinFisher - Excellence in IT Investigation  (englanniksi)  (linkkiä ei ole saatavilla) . www.finfisher.com Haettu 20. joulukuuta 2017. Arkistoitu alkuperäisestä 15. lokakuuta 2017.
16. ↑ FinFisher kampanjoi pahamaineisella vakoiluohjelmalla FinSpy, on tuulessa  , WeLiveSecurity (  21.9.2017). Arkistoitu alkuperäisestä 22. syyskuuta 2017. Haettu 22. joulukuuta 2017.
17. ↑ Napsauta vain kahdesti: FinFisher's Global Proliferation - Citizen Lab  , The Citizen Lab (  13. maaliskuuta 2013). Arkistoitu alkuperäisestä 10. tammikuuta 2018. Haettu 24. joulukuuta 2017.
18. ↑ FinSpy ja FinFisher vakoilevat sinua matkapuhelimellasi ja tietokoneellasi  , ESET Ireland (  3. syyskuuta 2012). Arkistoitu alkuperäisestä 24. joulukuuta 2017. Haettu 24. joulukuuta 2017.
19. ↑ Finfisher and the Ethics of Detection  , WeLiveSecurity (  31. elokuuta 2012). Arkistoitu alkuperäisestä 22. joulukuuta 2017. Haettu 19. joulukuuta 2017.
20. ↑ FinFisher auttaa ihmisiä vakoilemaan sinua matkapuhelimesi kautta, hyvässä vai pahassa?  (Englanti) , WeLiveSecurity  (30. elokuuta 2012). Arkistoitu alkuperäisestä 5. lokakuuta 2017. Haettu 19. joulukuuta 2017.
21. ↑ Kaspersky Lab. Kyberpalkkasoturit ja lailliset haittaohjelmat . www.kaspersky.ru Haettu 22. joulukuuta 2017. Arkistoitu alkuperäisestä 23. joulukuuta 2017. (määrätön)
22. ↑ Dr.Web - ilmaisten apuohjelmien kirjasto . free.drweb.ru. Haettu 22. joulukuuta 2017. Arkistoitu alkuperäisestä 23. joulukuuta 2017. (määrätön)