+22 голоса |
FinFisher - это мощный агент для кибер-шпионажа, разработанный Gamma Group, который позволяет тайно шпионить за компьютерами с целью перехвата сообщений, контролем клавиатуры и полным контролем хоста.
Шпионское ПО предназначено для использования правоохранительными и государственными структурами, а также отдельными частными лицами. Однако, экземпляры данного кибер-шпиона были обнаружены на персональных компьютерах оппозиционеров разных стран.
Bloomberg News сообщило что группа экспертов Rapid7, возглавляемая Клаудио Гарньери (Claudio Guarnieri), а также эксперты по безопасности, во главе с Морганом Маркес-Боре (Morgan Marquis-Boire), проанализировали перехваченные вредоносные программы и объяснили механизмы общения агентов со своим командными серверами. Исследование показали, что экземпляры вредоносной программы были обнаружены в Австралии, США, Дубае, Чешской Республике, Индонезии, Латвии, Монголии, Эстонии, Катаре и Эфиопии.
Действительно беспокоящим фактом является неконтролируемое распространение этих вредоносных программ, свидетельствующее о его процветании на черном рынке.
Управляющий директор Gamma International GmbH Мартин Дж. Мюнх (Martin J. Muench) сказал, что Gamma не продавало шпионское ПО в эти страны, а также добавил, что украденные образцы исследований демонстрационных копий были проданы через третьи лица. Мюнх подтвердил, что Gamma соответствует требованиям действующих правил экспорта ПО Великобритании, США и Германии, в то время как правительства стран, где были выявлены случаи отрицали использование шпионского ПО или избегают давать официальные объяснения. Существует большая дискуссия и насчет использования программ-шпионов, они представляют собой серьезную угрозу для неприкосновенности частной жизни и прав человека. Тот факт, что подобные вредоносные программы были обнаружены во всем мире является демонстрацией того, насколько широкой является ее диффузия и то, что инструмент, предназначенный для ограниченного числа категорий правительства был обнаружен везде.
Согласно исследованию Гарньери вредонос устанавливает во встроенном многопользовательском режиме ловушки в несколько запущенных процессов. Пока не ясен в этот момент весь список функциональных возможностей агента, но исследователи полагают, что он молчит, когда у него нет активного подключения к Интернету.
По данным исследования CitizenLab и WikiLeaks FinFisher поддерживает следующие функции:
- обход регулярно проверяющихся антивирусных систем;
- скрытая связь с главным сервером;
- полный мониторинг Skype (звонки, чаты, передача файлов, видео, список контактов);
- запись общих каналов связи, таких как электронная почта, чаты и VoIP;
- онлайн-наблюдение веб-камер и микрофонов жертвы;
- тихое извлечение файлов с жесткого диска;
- операции анализа процессов кей-логгинга;
- удаленная онлайн-экспертиза системы жертвы;
- расширенные фильтры для записи только важной информации;
- поддержка большинства распространенных ОС (Windows, Mac OSX и Linux).
Исследователи утверждают, что модуль перехвата Skype осуществляется вмешательством в интерфейс буфера звука из Windows DirectSound.
Во время отслеживания C&C-серверов исследователи отметили неожиданное поведение, все сервисы связаны с портами, по которым вредонос пытается обменять двоичные данные, отвечая HTTP- запросом.
Например, при подключении через Telnet к 77.69.140.194:80 и отправке "HEAD /", служба ответила следующим образом:
HTTP/1.1 200 OK
Content-Type: text/html; charset=UTF-8
Content-Length:12
Hallo Steffi
Подобное поведение идеально подходит для дактилоскопии, вследствие чего экспертами был проведен обыск серверов по всему миру с отображением их на карте и представлением соответствующих IP-адресов:
- 112.78.143.26 (Индонезия)
- 121.215.253.151 (Австралия)
- 78.100.57.165 (Катар)
- 213.55.99.74 (Эфиопия)
- 94.112.255.116 (Чешская Республика)
- 213.168.28.91 (Эстония)
- 54.248.2.220 (США)
- 202.179.31.227 (Монголия)
- 80.95.253.44 (Чешская Республика)
- 81.198.83.44 (Латвия)
- 86.97.255.50 (Дубаи, ОАЭ)
Вредонос кажется довольно сложным и хорошо защищённым, но инфицированная цепочка - довольно слаба и проста. Способность к дактилоскопии C&C была откровенно неудобной, особенно для вредоносных программ как эта. В совокупности эти факторы действительно не поддерживают предположение, что воры реструктурировали вредонос для использования на черном рынке.
У представителей оппозиции разных стран обнаружен FinFisher-шпион
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
+22 голоса |
Как же "поддержка большинства распространенных ОС (Windows, Mac OSX и Linux)" если "перехвата Skype осуществляется вмешательством в интерфейс буфера звука из Windows DirectSound"? Где в Mac OS и Linux directSound?