`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Максим Голубев

У представителей оппозиции разных стран обнаружен FinFisher-шпион

+22
голоса

FinFisher - это мощный агент для кибер-шпионажа, разработанный Gamma Group, который позволяет тайно шпионить за компьютерами с целью перехвата сообщений, контролем клавиатуры и полным контролем хоста.

Шпионское ПО предназначено для использования правоохранительными и государственными структурами, а также отдельными частными лицами. Однако, экземпляры данного кибер-шпиона были обнаружены на персональных компьютерах оппозиционеров разных стран.

Bloomberg News сообщило что группа экспертов Rapid7, возглавляемая Клаудио Гарньери (Claudio Guarnieri), а также эксперты по безопасности, во главе с Морганом Маркес-Боре (Morgan Marquis-Boire), проанализировали перехваченные вредоносные программы и объяснили механизмы общения агентов со своим командными серверами. Исследование показали, что экземпляры вредоносной программы были обнаружены в Австралии, США, Дубае, Чешской Республике, Индонезии, Латвии, Монголии, Эстонии, Катаре и Эфиопии.

Действительно беспокоящим фактом является неконтролируемое распространение этих вредоносных программ, свидетельствующее о его процветании на черном рынке.

Управляющий директор Gamma International GmbH Мартин Дж. Мюнх (Martin J. Muench) сказал, что Gamma не продавало шпионское ПО в эти страны, а также добавил, что украденные образцы исследований демонстрационных копий были проданы через третьи лица. Мюнх подтвердил, что Gamma соответствует требованиям действующих правил экспорта ПО Великобритании, США и Германии, в то время как правительства стран, где были выявлены случаи отрицали использование шпионского ПО или избегают давать официальные объяснения. Существует большая дискуссия и насчет использования программ-шпионов, они представляют собой серьезную угрозу для неприкосновенности частной жизни и прав человека. Тот факт, что подобные вредоносные программы были обнаружены во всем мире является демонстрацией того, насколько широкой является ее диффузия и то, что инструмент, предназначенный для ограниченного числа категорий правительства был обнаружен везде.

Согласно исследованию Гарньери вредонос устанавливает во встроенном многопользовательском режиме ловушки в несколько запущенных процессов. Пока не ясен в этот момент весь список функциональных возможностей агента, но исследователи полагают, что он молчит, когда у него нет активного подключения к Интернету.

По данным исследования CitizenLab и WikiLeaks FinFisher поддерживает следующие функции:

  1. обход регулярно проверяющихся антивирусных систем;
  2. скрытая связь с главным сервером;
  3. полный мониторинг Skype (звонки, чаты, передача файлов, видео, список контактов);
  4. запись общих каналов связи, таких как электронная почта, чаты и VoIP;
  5. онлайн-наблюдение веб-камер и микрофонов жертвы;
  6. тихое извлечение файлов с жесткого диска;
  7. операции анализа процессов кей-логгинга;
  8. удаленная онлайн-экспертиза системы жертвы;
  9. расширенные фильтры для записи только важной информации;
  10. поддержка большинства распространенных ОС (Windows, Mac OSX и Linux).

Исследователи утверждают, что модуль перехвата Skype осуществляется вмешательством в интерфейс буфера звука из Windows DirectSound.

Во время отслеживания C&C-серверов исследователи отметили неожиданное поведение, все сервисы связаны с портами, по которым вредонос пытается обменять двоичные данные, отвечая HTTP- запросом.

Например, при подключении через Telnet к 77.69.140.194:80 и отправке "HEAD /", служба ответила следующим образом:

HTTP/1.1 200 OK

Content-Type: text/html; charset=UTF-8

Content-Length:12

Hallo Steffi

Подобное поведение идеально подходит для дактилоскопии, вследствие чего экспертами был проведен обыск серверов по всему миру с отображением их на карте и представлением соответствующих IP-адресов:

  • 112.78.143.26 (Индонезия)
  • 121.215.253.151 (Австралия)
  • 78.100.57.165 (Катар)
  • 213.55.99.74 (Эфиопия)
  • 94.112.255.116 (Чешская Республика)
  • 213.168.28.91 (Эстония)
  • 54.248.2.220 (США)
  • 202.179.31.227 (Монголия)
  • 80.95.253.44 (Чешская Республика)
  • 81.198.83.44 (Латвия)
  • 86.97.255.50 (Дубаи, ОАЭ)

Вредонос кажется довольно сложным и хорошо защищённым, но инфицированная цепочка - довольно слаба и проста. Способность к дактилоскопии C&C была откровенно неудобной, особенно для вредоносных программ как эта. В совокупности эти факторы действительно не поддерживают предположение, что воры реструктурировали вредонос для использования на черном рынке.

У представителей оппозиции разных стран обнаружен FinFisher-шпион

+22
голоса

Напечатать Отправить другу

Читайте также

Как же "поддержка большинства распространенных ОС (Windows, Mac OSX и Linux)" если "перехвата Skype осуществляется вмешательством в интерфейс буфера звука из Windows DirectSound"? Где в Mac OS и Linux directSound?

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT