FinFisher - это мощный агент для кибер-шпионажа, разработанный Gamma Group, который позволяет тайно шпионить за компьютерами с целью перехвата сообщений, контролем клавиатуры и полным контролем хоста.
Шпионское ПО предназначено для использования правоохранительными и государственными структурами, а также отдельными частными лицами. Однако, экземпляры данного кибер-шпиона были обнаружены на персональных компьютерах оппозиционеров разных стран.
Bloomberg News сообщило что группа экспертов Rapid7, возглавляемая Клаудио Гарньери (Claudio Guarnieri), а также эксперты по безопасности, во главе с Морганом Маркес-Боре (Morgan Marquis-Boire), проанализировали перехваченные вредоносные программы и объяснили механизмы общения агентов со своим командными серверами. Исследование показали, что экземпляры вредоносной программы были обнаружены в Австралии, США, Дубае, Чешской Республике, Индонезии, Латвии, Монголии, Эстонии, Катаре и Эфиопии.
Действительно беспокоящим фактом является неконтролируемое распространение этих вредоносных программ, свидетельствующее о его процветании на черном рынке.
Управляющий директор Gamma International GmbH Мартин Дж. Мюнх (Martin J. Muench) сказал, что Gamma не продавало шпионское ПО в эти страны, а также добавил, что украденные образцы исследований демонстрационных копий были проданы через третьи лица. Мюнх подтвердил, что Gamma соответствует требованиям действующих правил экспорта ПО Великобритании, США и Германии, в то время как правительства стран, где были выявлены случаи отрицали использование шпионского ПО или избегают давать официальные объяснения. Существует большая дискуссия и насчет использования программ-шпионов, они представляют собой серьезную угрозу для неприкосновенности частной жизни и прав человека. Тот факт, что подобные вредоносные программы были обнаружены во всем мире является демонстрацией того, насколько широкой является ее диффузия и то, что инструмент, предназначенный для ограниченного числа категорий правительства был обнаружен везде.
Согласно исследованию Гарньери вредонос устанавливает во встроенном многопользовательском режиме ловушки в несколько запущенных процессов. Пока не ясен в этот момент весь список функциональных возможностей агента, но исследователи полагают, что он молчит, когда у него нет активного подключения к Интернету.
По данным исследования CitizenLab и WikiLeaks FinFisher поддерживает следующие функции:
Исследователи утверждают, что модуль перехвата Skype осуществляется вмешательством в интерфейс буфера звука из Windows DirectSound.
Во время отслеживания C&C-серверов исследователи отметили неожиданное поведение, все сервисы связаны с портами, по которым вредонос пытается обменять двоичные данные, отвечая HTTP- запросом.
Например, при подключении через Telnet к 77.69.140.194:80 и отправке "HEAD /", служба ответила следующим образом:
HTTP/1.1 200 OK
Content-Type: text/html; charset=UTF-8
Content-Length:12
Hallo Steffi
Подобное поведение идеально подходит для дактилоскопии, вследствие чего экспертами был проведен обыск серверов по всему миру с отображением их на карте и представлением соответствующих IP-адресов:
Вредонос кажется довольно сложным и хорошо защищённым, но инфицированная цепочка - довольно слаба и проста. Способность к дактилоскопии C&C была откровенно неудобной, особенно для вредоносных программ как эта. В совокупности эти факторы действительно не поддерживают предположение, что воры реструктурировали вредонос для использования на черном рынке.
У представителей оппозиции разных стран обнаружен FinFisher-шпион