FinFisher (также известно как FinSpy ) — программное обеспечение британской компании Gamma Groupu, является программой-шпионом (англ. spyware) . Троянская программа , относится к подтипу Remote Access (удаленный просмотр рабочего стола), устанавливается на компьютер жертвы, «притворяясь» доверенным программным обеспечением, занимается отслеживанием данных пользователя .

История

• В марте 2011 года в ходе Арабской весны вскрылся факт использования FinFisher правительством Египта . Подтверждением данной информации стал контракт, найденный оппозицией правительства, на лицензионное использование FinFisher стоимостью €287,000 ($353,000) .
• В ноябре 2011 года WikiLeaks опубликовала серию видео, наглядно демонстрирующую, как можно использовать FinFisher для получения данных пользователя. В видео показали такие возможности программы как отслеживание активностей пользователей в сети отеля, прерываний скайп -сессий, чтение паролей и приватных файлов . Также WikiLeaks продемонстрировала использование уязвимости iTunes для заражения компьютера пользователя . Статья об использованной уязвимости в iTunes была опубликована ещё в 2008 году журналистом Брайоном Кребсом (англ. Brian Krebs), однако к 2011 году компания Apple не устранила её .
• В апреле 2013 года сообщество Mozilla опубликовало в своем блоге информацию об использовании FinFisher под видом продукта Mozilla Firefox .
• В 2014 году Kидане (англ. Kidane), гражданин США , подал иск в суд на Эфиопское правительство о нарушении гражданских прав, об отслеживании личной информации. Агентами правительства Эфиопии было направлено электронное письмо с файлом Word , при нажатии на который, на компьютер Кидане незаметно установилась программа FinFisher. Программой отслеживались и передавались Эфиопскому правительству такие данные, как просматриваемые web-cтраницы , электронная переписка, записи скайп -звонков .

Согласно анализу Моргана Маркус-Боира (англ. Morgan Marquis-Boire), исследователя университета в Торонто (англ.University of Toronto’s  Munk School of Global Affairs) и Билла Маркзака (англ. Bill Marczak), аспиранта Калифорнийского университета в Беркли более 25 стран использовали программное обеспечение FinSpy к 2013 году . На 2013 год в этот список стран вошли Австрия , Бахрейне , Бангладеш , Великобритания , Бруней , Болгария , Канада , Чехия , Эстония , Эфиопия , Финляндия , Германия , Венгрия , Индия , Индонезия , Япония , Латвия , Литва , Малайзия , Мексика , Монголия , Нидерланды , Нигерия , Пакистан , Панама , Румыния , Сербия , Сингапур , страны Южной Африки, Турция , Туркмения , Объединенные Арабские Эмираты , Соединенные Штаты , Венесуэла и Вьетнам .

В сентябре 2017 года компания ESET опубликовала информацию о том, что около семи стран пострадало от обновленной версии FinFisher. Для заражения использовалась атака посредника , и, вероятно, в заражении принимали участие крупные интернет провайдеры. По словам аналитика компании при загрузке лицензионного программного обеспечения такого как Skype, WhatsApp, пользователь перенаправлялся провайдером на страницу с фальшивым программным обеспечением .

Описание

FinFisher предоставляет решение для удаленного отслеживания действий пользователей. Это позволяет правительствам решать задачи мониторинга мобильных целей, которые регулярно меняют местоположение, используют зашифрованные и анонимные каналы связи и поездки на международном уровне .

Для работы программы используется сервер FinSpy Master и сервера FinSpy Relay, которые являются промежуточным звеном и берут на себя функциональность .

Как только FinSpy установлен в компьютерной системе, он будет доступным, как только подключится к Интернету, независимо от того, где в мире система находится .

Продукт FinFisher компании Gamma предоставляет пользователю следующую функциональность:

• Отслеживание онлайн активностей по Skype , Messenger , VoIP , электронной почте, web-страницам;
• Отслеживание активностей в интернете в социальных сетях, блогах, файловых хранилищах;
• Доступ к файлам, хранящимся на жестком диске;
• Использование встроенного в компьютер жертвы оборудования, например, микрофона или камеры;
• Отслеживание местонахождения жертвы .

Компания Gamma представляет использование программы, как замкнутый цикл из шести пунктов:

• Планирование и определение жертвы;
• Сбор информации;
• Обработка полученной информации;
• Интеллектуальный анализ данных;
• Распространение информации;
• Переоценка .

Поддерживаемые операционные системы

В 2011 году WikiLeaks опубликовала продуктовую документацию FinFisher. На момент 2011 года программой поддерживались следующие операционные системы:

• Microsoft Windows 2000 Clean / SP1 / SP2 / SP3 / SP4
• Microsoft Windows XP Clean / SP1 / SP2 / SP3
• Microsoft Windows Vista Clean / SP1 / SP2 / SP3 (32 Bit & 64 Bit)
• Microsoft Windows 7 (32 Bit & 64 Bit)
• Mac OS X  10.6.x
• Linux 2.6

Обновление программы

Программное обеспечение FinFisher устроено таким образом, что все обновления передаются сервером обновлений Gamma через определенный промежуток времени.

Каждое обновление передается зашифрованным файлом. Количество обновлений в год зависит от развития IT индустрии .

Метод заражения

Для заражения компьютера пользователя распространенным методом является выдача FinFisher за лицензионное доверенное обновление . Наглядным примером такого метода является незаконное использование бренда Mozilla , выплывшее на свет в 2014 году .

В 2017 компания ESET опубликовала подробный анализ FinFIsher. Одна из схем, используемых для заражения — атака посредника . При загрузке лицензионного программного обеспечения пользователь перенаправляется на сайт с фальшивым программным обеспечением. Для изменения ссылки для скачивания используется ответ Tempory Redirect протокола HTTP , который говорит о том, что запрашиваемый контент перенесен на другую страницу. Таким образом, всё изменение происходит «внутри» протокола HTTP, и пользователь не догадывается о подмене .

Также используется отправка сообщений на электронную почту, содержащих файлы, имитирующие обычные документы, но по факту устанавливающие FinSpy . Например, компьютер Кидане (англ. Kidane), гражданина США , пострадавшего от слежки Эфиопским правительством, был заражен посредством запуска фальшивого документа Word .

Продукт FinFisher компании Gamma содержит два компонента:

• FinSpy Master and Proxy — компонент, отвечающий за контроль отслеживаемых систем;
• FinSpy Agent — компонент, отвечающий за графический интерфейс для пользователя .

Меры предосторожности и обнаружение

Билл Марчак (англ. Bill Marczak), кандидат наук Калифорнийского университета в Беркли , провел анализ FinFisher и сделал вывод, что стоит опасаться программного обеспечения FinFisher для мобильных устройств.

Программное обеспечение FinSpy Mobile содержит в себе гораздо большую функциональность, чем программное обеспечение FinFisher для компьютера.

В основную функциональность программы для мобильного входит сбор сообщений, местоположения, списков контактов, записывание данных, поступающих на микрофон и других распространенных функций мобильных устройств .

Чтобы обезопасить себя, пользователю не стоит загружать и открывать файлы от недоверенных отправителей. Также необходимо ограничить доступ к мобильному устройству посторонним людям. Хорошей практикой является установление на устройство пароля .

В 2012 году международный разработчик антивирусного программного обеспечения компания ESET заявила, что троянская программа FinFisher обнаруживается их программным обеспечением и имеет идентификатор «Win32 / Belesak.D» .

В 2013 году эксперты из обнаружили более 25 стран, использующих FinFisher. Для обнаружение использовалась утилита Zmap .

В октябре 2014 Лаборатория Касперского в своем блоге в статье о легальном вредоносном ПО, в число которого входит FinFisher, упоминала, что начиная с Kaspersky Antivirus 6 (MP4) программное обеспечение FinFisher успешно обнаруживает .

В 2014 году FinFisher было также добавлено в базу данных троянских программ антивируса Dr. Web .

Примечания