FinFisher

Материал из Википедии — свободной энциклопедии
Текущая версия страницы пока не проверялась опытными участниками и может значительно отличаться от версии, проверенной 20 декабря 2017 года; проверки требуют 44 правки.
FinFisher
Логотип программы FinFisher
Тип Троянская программа
Сайт finfisher.com/Fin… (англ.)
Логотип Викисклада Медиафайлы на Викискладе

FinFisher (также известно как FinSpy

Remote Access (удаленный просмотр рабочего стола), устанавливается на компьютер жертвы, «притворяясь» доверенным программным обеспечением, занимается отслеживанием данных пользователя[1][2][4]
.

История

  • В марте 2011 года в ходе Арабской весны вскрылся факт использования FinFisher правительством Египта. Подтверждением данной информации стал контракт, найденный оппозицией правительства, на лицензионное использование FinFisher стоимостью €287,000 ($353,000)[2][5].
  • В ноябре 2011 года WikiLeaks опубликовала серию видео, наглядно демонстрирующую, как можно использовать FinFisher для получения данных пользователя. В видео показали такие возможности программы как отслеживание активностей пользователей в сети отеля, прерываний скайп-сессий, чтение паролей и приватных файлов[6]. Также WikiLeaks продемонстрировала использование уязвимости iTunes для заражения компьютера пользователя[6][7]. Статья об использованной уязвимости в iTunes была опубликована ещё в 2008 году журналистом Брайоном Кребсом (англ. Brian Krebs), однако к 2011 году компания Apple не устранила её[6][8].
  • В апреле 2013 года сообщество Mozilla опубликовало в своем блоге информацию об использовании FinFisher под видом продукта Mozilla Firefox[9].
  • В 2014 году Kидане (англ. Kidane), гражданин США, подал иск в суд на Эфиопское правительство о нарушении гражданских прав, об отслеживании личной информации. Агентами правительства Эфиопии было направлено электронное письмо с файлом Word, при нажатии на который, на компьютер Кидане незаметно установилась программа FinFisher. Программой отслеживались и передавались Эфиопскому правительству такие данные, как просматриваемые web-страницы, электронная переписка, записи скайп-звонков[10][11].

Согласно анализу Моргана Маркус-Боира (англ. Morgan Marquis-Boire), исследователя

Туркмения, Объединенные Арабские Эмираты, Соединенные Штаты, Венесуэла и Вьетнам[12]
.

В сентябре 2017 года компания ESET опубликовала информацию о том, что около семи стран пострадало от обновленной версии FinFisher. Для заражения использовалась атака посредника, и, вероятно, в заражении принимали участие крупные интернет провайдеры. По словам аналитика компании при загрузке лицензионного программного обеспечения такого как Skype, WhatsApp, пользователь перенаправлялся провайдером на страницу с фальшивым программным обеспечением[13].

Описание

FinFisher предоставляет решение для удаленного отслеживания действий пользователей. Это позволяет правительствам решать задачи мониторинга мобильных целей, которые регулярно меняют местоположение, используют зашифрованные и анонимные каналы связи и поездки на международном уровне[2][3][10].

Для работы программы используется сервер FinSpy Master и сервера FinSpy Relay, которые являются промежуточным звеном и берут на себя функциональность C&C-cерверов[14].

Как только FinSpy установлен в компьютерной системе, он будет доступным, как только подключится к Интернету, независимо от того, где в мире система находится[10][15].

Продукт FinFisher компании Gamma предоставляет пользователю следующую функциональность:

  • Отслеживание онлайн активностей по
    VoIP
    , электронной почте, web-страницам;
  • Отслеживание активностей в интернете в социальных сетях, блогах, файловых хранилищах;
  • Доступ к файлам, хранящимся на жестком диске;
  • Использование встроенного в компьютер жертвы оборудования, например, микрофона или камеры;
  • Отслеживание местонахождения жертвы[6][15].

Компания Gamma представляет использование программы, как замкнутый цикл из шести пунктов:

  • Планирование и определение жертвы;
  • Сбор информации;
  • Обработка полученной информации;
  • Интеллектуальный анализ данных;
  • Распространение информации;
  • Переоценка[15].

Поддерживаемые операционные системы

В 2011 году WikiLeaks опубликовала продуктовую документацию FinFisher. На момент 2011 года программой поддерживались следующие операционные системы:

  • Microsoft Windows 2000 Clean / SP1 / SP2 / SP3 / SP4
  • Microsoft Windows XP Clean / SP1 / SP2 / SP3
  • Microsoft Windows Vista Clean / SP1 / SP2 / SP3 (32 Bit & 64 Bit)
  • Microsoft Windows 7 (32 Bit & 64 Bit)
  • Mac OS X  10.6.x
  • Linux 2.6[6][7]

Обновление программы

Программное обеспечение FinFisher устроено таким образом, что все обновления передаются сервером обновлений Gamma через определенный промежуток времени.

Каждое обновление передается зашифрованным файлом. Количество обновлений в год зависит от развития IT индустрии[7][15].

Метод заражения

Для заражения компьютера пользователя распространенным методом является выдача FinFisher за лицензионное доверенное обновление[1][2][4]. Наглядным примером такого метода является незаконное использование бренда Mozilla, выплывшее на свет в 2014 году[9].

В 2017 компания ESET опубликовала подробный анализ FinFIsher. Одна из схем, используемых для заражения — атака посредника. При загрузке лицензионного программного обеспечения пользователь перенаправляется на сайт с фальшивым программным обеспечением. Для изменения ссылки для скачивания используется ответ Tempory Redirect протокола HTTP, который говорит о том, что запрашиваемый контент перенесен на другую страницу. Таким образом, всё изменение происходит «внутри» протокола HTTP, и пользователь не догадывается о подмене[16].

Также используется отправка сообщений на электронную почту, содержащих файлы, имитирующие обычные документы, но по факту устанавливающие FinSpy[1][2][4]. Например, компьютер Кидане (англ. Kidane), гражданина США, пострадавшего от слежки Эфиопским правительством, был заражен посредством запуска фальшивого документа Word [10][11].

Продукт FinFisher компании Gamma содержит два компонента:

  • FinSpy Master and Proxy — компонент, отвечающий за контроль отслеживаемых систем;
  • FinSpy Agent — компонент, отвечающий за графический интерфейс для пользователя[6][7].

Меры предосторожности и обнаружение

Билл Марчак (англ. Bill Marczak), кандидат наук Калифорнийского университета в Беркли, провел анализ FinFisher и сделал вывод, что стоит опасаться программного обеспечения FinFisher для мобильных устройств.

Программное обеспечение FinSpy Mobile содержит в себе гораздо большую функциональность, чем программное обеспечение FinFisher для компьютера.

В основную функциональность программы для мобильного входит сбор сообщений, местоположения, списков контактов, записывание данных, поступающих на микрофон и других распространенных функций мобильных устройств[14][17][18].

Чтобы обезопасить себя, пользователю не стоит загружать и открывать файлы от недоверенных отправителей. Также необходимо ограничить доступ к мобильному устройству посторонним людям. Хорошей практикой является установление на устройство пароля[14].

В 2012 году международный разработчик антивирусного программного обеспечения компания ESET заявила, что троянская программа FinFisher обнаруживается их программным обеспечением и имеет идентификатор «Win32 / Belesak.D»[19][20].

В 2013 году эксперты из Citizen Lab обнаружили более 25 стран, использующих FinFisher. Для обнаружение использовалась утилита Zmap[14].

В октябре 2014 Лаборатория Касперского в своем блоге в статье о легальном вредоносном ПО, в число которого входит FinFisher, упоминала, что начиная с Kaspersky Antivirus 6 (MP4) программное обеспечение FinFisher успешно обнаруживает[21].

В 2014 году FinFisher было также добавлено в базу данных троянских программ антивируса Dr. Web[22].

Примечания

  1. 1 2 3 4 Nicole Perlroth (30 августа 2012). Software Meant to Fight Crime Is Used to Spy on Dissidents. The New York Times. Архивировано 31 августа 2012. Дата обращения: 31 августа 2012.
  2. 1 2 3 4 5 6 UK firm denies supplying spyware to Mubarak's secret police (англ.). Архивировано 27 ноября 2011. Дата обращения: 19 декабря 2017.
  3. 1 2 Perlroth, Nicole (30 августа 2012). FinSpy Software Is Tracking Political Dissidents. The New York Times (англ.). Архивировано 31 августа 2012. Дата обращения: 20 декабря 2017.
  4. 1 2 3 Rosenbach, Marcel (22 ноября 2011). Troublesome Trojans: Firm Sought to Install Spyware Via Faked iTunes Updates. Spiegel Online. Архивировано 4 января 2018. Дата обращения: 19 декабря 2017.
  5. Perlroth, Nicole (13 августа 2012). Elusive FinSpy Spyware Pops Up in 10 Countries. Bits Blog (англ.). Архивировано 22 декабря 2017. Дата обращения: 19 декабря 2017.
  6. 1 2 3 4 5 6 Greenberg, Andy. WikiLeaks Posts Spy Firm Videos Offering Tools For Hacking iTunes, Gmail, Skype. Forbes (англ.). Архивировано 22 декабря 2017. Дата обращения: 20 декабря 2017.
  7. 1 2 3 4 WikiLeaks - SpyFiles 4 (англ.). wikileaks.org. Дата обращения: 20 декабря 2017. Архивировано 24 декабря 2017 года.
  8. Security Fix — Exploit Prods Software Firms to Update Their Updaters. Архивировано 25 сентября 2016. Дата обращения: 20 декабря 2017.
  9. 1 2 Protecting our brand from a global spyware provider – The Mozilla Blog (англ.). The Mozilla Blog. Дата обращения: 19 декабря 2017. Архивировано 2 мая 2013 года.
  10. ISSN 0028-792X. Архивировано
    22 декабря 2017 года.
  11. 1 2 Kidane v. Ethiopia. Electronic Frontier Foundation (англ.). 17 февраля 2014. Архивировано 28 февраля 2018. Дата обращения: 20 декабря 2017.
  12. 1 2 Perlroth, Nicole (13 марта 2013). Researchers Find 25 Countries Using Surveillance Software. Bits Blog (англ.). Архивировано 22 декабря 2017. Дата обращения: 19 декабря 2017.
  13. ESET finds internet providers may be involved in latest FinFisher surveillance campaigns (англ.). www.eset.com. Дата обращения: 22 декабря 2017. Архивировано 23 декабря 2017 года.
  14. 1 2 3 4 Lessons Learnt From FinFisher Mobile Spyware. PCMAG (англ.). Архивировано 3 сентября 2012. Дата обращения: 19 декабря 2017.
  15. 1 2 3 4 FinFisher - Excellence in IT Investigation (англ.). www.finfisher.com. Дата обращения: 20 декабря 2017. Архивировано из оригинала 15 октября 2017 года.
  16. FinFisher campaigns using infamous spyware FinSpy, is in the wind. WeLiveSecurity (англ.). 21 сентября 2017. Архивировано 22 сентября 2017. Дата обращения: 22 декабря 2017.
  17. You Only Click Twice: FinFisher's Global Proliferation - Citizen Lab. The Citizen Lab (англ.). 13 марта 2013. Архивировано 10 января 2018. Дата обращения: 24 декабря 2017.
  18. FinSpy and FinFisher spy on you via your cellphone and PC. ESET Ireland (англ.). 3 сентября 2012. Архивировано 24 декабря 2017. Дата обращения: 24 декабря 2017.
  19. Finfisher and the Ethics of Detection. WeLiveSecurity (англ.). 31 августа 2012. Архивировано 22 декабря 2017. Дата обращения: 19 декабря 2017.
  20. FinFisher helps people spy on you via your cellphone, for good or evil?. WeLiveSecurity (англ.). 30 августа 2012. Архивировано 5 октября 2017. Дата обращения: 19 декабря 2017.
  21. Kaspersky Lab. Кибернаемники и легальное вредоносное ПО. www.kaspersky.ru (9 октября 2014). Дата обращения: 22 декабря 2017. Архивировано 23 декабря 2017 года.
  22. Dr.Web — библиотека бесплатных утилит. free.drweb.ru. Дата обращения: 22 декабря 2017. Архивировано 23 декабря 2017 года.
Источник — https://ru.wikipedia.org/w/index.php?title=FinFisher&oldid=144264995