FinFisher

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 20. december 2017; checks kræver 40 redigeringer .

FinFisher
Type	Trojan
Internet side	finfisher.com/Fin… (  engelsk)
Mediefiler på Wikimedia Commons

FinFisher (også kendt som FinSpy [1] ) er software fra det britiske firma Gamma Groupu, som er spyware [2] [3] . Trojaneren tilhører undertypen Remote Accesex, er installeret på ofrets computer, "foregiver at være" betroet software og overvåger brugerdata [2] [1] [4] .

Historie

• I marts 2011 kom den egyptiske regerings brug af FinFisher frem under det arabiske forår . Disse oplysninger blev bekræftet af en kontrakt fundet af regeringens opposition for licenseret brug af FinFisher til en værdi af €287.000 ($353.000) [5] [2] .
• I november 2011 offentliggjorde WikiLeaks en række videoer, der demonstrerer, hvordan FinFisher kan bruges til at indhente brugerdata. Videoen viste funktioner i programmet som sporing af brugeraktiviteter i hotellets netværk, afbrydelse af Skype -sessioner, læsning af adgangskoder og private filer [6] . WikiLeaks demonstrerede også brugen af ​​en iTunes-sårbarhed til at inficere en brugers computer [7] [6] . En artikel om den brugte sårbarhed i iTunes blev publiceret tilbage i 2008 af journalist Brian Krebs, men i 2011 havde Apple ikke rettet den [6] [8] .
• I april 2013 skrev Mozilla -fællesskabet på deres blog om brugen af ​​FinFisher under dække af et Mozilla Firefox -produkt [9] .
• I 2014 anlagde Kidane, en amerikansk statsborger , en borgerretssag mod den etiopiske regering for at spore personlige oplysninger. Etiopiske regeringsagenter sendte en e-mail, der indeholdt en Word -fil , der, når der blev klikket, stille installerede FinFisher på Kidanes computer. Programmet overvågede og overførte til den etiopiske regering sådanne data som viste websider , e-mail-korrespondance, Skype -opkaldsregistreringer [10] [11] .

Mere end __25 [12] . For 2013 omfattede denne liste over lande Østrig , Bahrain , Bangladesh , Storbritannien , Brunei , Bulgarien , Canada , Tjekkiet , Estland , Etiopien , Finland , Tyskland , Ungarn , Indien , Indonesien , Japan , Letland , Litauen , Malaysia , Mexico , Mongoliet , Holland , Nigeria , Pakistan , Panama , Rumænien , Serbien , Singapore , Sydafrikanske lande, Tyrkiet , Turkmenistan , De Forenede Arabiske Emirater , USA , Venezuela og Vietnam [12] .

I september 2017 offentliggjorde ESET oplysninger om, at omkring syv lande var berørt af den opdaterede version af FinFisher. Et man-in-the- midten-angreb blev brugt til at inficere , og det er sandsynligt, at store internetudbydere har deltaget i infektionen. Ifølge en virksomhedsanalytiker blev brugeren ved download af licenseret software som Skype, WhatsApp omdirigeret af udbyderen til en side med falsk software [13] .

Beskrivelse

FinFisher leverer en løsning til fjernsporing af brugeraktivitet. Dette giver regeringer mulighed for at imødegå udfordringen med at overvåge mobile mål, der regelmæssigt skifter placering, bruger krypterede og anonyme kommunikationskanaler og rejser internationalt [10] [2] [3] .

Programmet bruger FinSpy Master-serveren og FinSpy Relay-servere, som er et mellemled og overtager funktionaliteten af ​​C&C-servere [14] .

Når FinSpy er installeret på et computersystem, vil det være tilgængeligt, så snart det opretter forbindelse til internettet, uanset hvor i verden systemet er placeret [15] [10] .

Gammas FinFisher-produkt giver brugeren følgende funktionalitet:

• Sporing af onlineaktiviteter via Skype , Messenger , VoIP , e-mail, websider;
• Sporing af aktiviteter på internettet i sociale netværk, blogs, fillager;
• Adgang til filer gemt på harddisken;
• Brug af udstyr indbygget i ofrets computer, såsom en mikrofon eller et kamera;

• Sporing af offerets placering [6] [15] .

Gamma præsenterer brugen af ​​programmet som en lukket cyklus på seks punkter:

• Planlægning og definering af offeret;
• Indsamling af information;
• Behandling af modtagne oplysninger;
• Data mining;
• Spredning af information;
• Revurdering [15] .

Understøttede operativsystemer

I 2011 offentliggjorde WikiLeaks FinFisher-produktdokumentationen. Fra 2011 understøttede programmet følgende operativsystemer:

• Microsoft Windows 2000 Clean / SP1 / SP2 / SP3 / SP4
• Microsoft Windows XP Clean / SP1 / SP2 / SP3
• Microsoft Windows Vista Clean / SP1 / SP2 / SP3 (32 Bit & 64 Bit)
• Microsoft Windows 7 (32 bit og 64 bit)

• Mac OS X 10.6.x

• Linux 2.6 [6] [7]

Programopdatering

FinFisher-softwaren er designet på en sådan måde, at alle opdateringer transmitteres af Gamma-opdateringsserveren efter et vist tidsrum.

Hver opdatering sendes som en krypteret fil. Antallet af opdateringer om året afhænger af udviklingen i it-branchen [15] [7] .

Infektionsmetode

For at inficere en brugers computer er en almindelig metode at udlevere FinFisher som en licenseret betroet opdatering [4] [2] [1] . Et tydeligt eksempel på denne metode er den ulovlige brug af Mozilla -mærket , som kom frem i 2014 [9] .

I 2017 offentliggjorde ESET en detaljeret analyse af FinFIsher. En af de ordninger, der bruges til infektion, er et mand-i- midten-angreb . Når du downloader licenseret software, bliver brugeren omdirigeret til et websted med falsk software. For at ændre downloadlinket bruges HTTP Tempory Redirect-svaret , som angiver, at det ønskede indhold er blevet flyttet til en anden side. Således sker al ændring "inde i" HTTP-protokollen, og brugeren er ikke klar over substitutionen [16] .

Det bruges også til at sende e-mails, der indeholder filer, der efterligner almindelige dokumenter, men faktisk installerer FinSpy [4] [2] [1] . For eksempel blev computeren til Kidane, en amerikansk statsborger, der var udsat for overvågning af den etiopiske regering, inficeret ved at køre et falsk Word- dokument [10] [11] .

Gammas FinFisher-produkt indeholder to komponenter:

• FinSpy Master and Proxy er en komponent, der er ansvarlig for overvågning af overvågede systemer;

• FinSpy Agent er en komponent, der er ansvarlig for den grafiske brugergrænseflade [6] [7] .

Forholdsregler og detektion

Bill Marczak, UC Berkeley PhD, analyserede FinFisher og konkluderede, at FinFisher mobilsoftware er værd at være på vagt over for.

FinSpy Mobile-softwaren indeholder meget mere funktionalitet end FinFisher desktop-softwaren.

Mobilapplikationens hovedfunktionalitet omfatter indsamling af beskeder, lokationer, kontaktlister, optagelse af data modtaget af mikrofonen og andre almindelige funktioner på mobile enheder [17] [18] [14] .

For at beskytte dig selv bør brugeren ikke downloade og åbne filer fra upålidelige afsendere. Det er også nødvendigt at begrænse adgangen til den mobile enhed til uautoriserede personer. Det er god praksis at indstille en adgangskode på enheden [14] .

I 2012 hævdede ESET , en international anti-virus softwareudvikler, at FinFisher Trojan blev opdaget af deres software og havde identifikationen "Win32/Belesak.D" [19] [20] .

I 2013 fandt eksperter fra Citizen Lab over 25 lande ved hjælp af FinFisher. Til detektion blev Zmap-værktøjet [14] brugt .

I oktober 2014 nævnte Kaspersky Lab i et blogindlæg om lovlig malware, som inkluderer FinFisher, at siden Kaspersky Antivirus 6 (MP4) har FinFisher-software registreret [ 21] .

I 2014 blev FinFisher også tilføjet til Dr. Web [22] .

Noter

1. ↑ 1 2 3 4 Nicole Perlroth . Software beregnet til at bekæmpe kriminalitet bruges til at spionere på dissidenter  (30. august 2012). Arkiveret fra originalen den 31. august 2012. Hentet 31. august 2012.
2. ↑ 1 2 3 4 5 6 Det britiske firma nægter at levere spyware til Mubaraks hemmelige  politi . Arkiveret fra originalen den 27. november 2011. Hentet 19. december 2017.
3. ↑ 12 Perlroth , Nicole . FinSpy Software sporer politiske dissidenter  , The New York Times (  30. august 2012). Arkiveret fra originalen den 31. august 2012. Hentet 20. december 2017.
4. ↑ 1 2 3 Rosenbach, Marcel . Besværlige trojanske heste: Firma søgte at installere spyware via falske iTunes-opdateringer , Spiegel Online  (22. november 2011). Arkiveret fra originalen den 4. januar 2018. Hentet 19. december 2017.
5. ↑ Perlroth, Nicole . Undvigende FinSpy-spyware dukker op i 10 lande  , Bits Blog . Arkiveret fra originalen den 22. december 2017. Hentet 19. december 2017.
6. ↑ 1 2 3 4 5 6 Greenberg, Andy . WikiLeaks poster spionfirma-videoer, der tilbyder værktøjer til at hacke iTunes, Gmail, Skype  (engelsk) , Forbes . Arkiveret fra originalen den 22. december 2017. Hentet 20. december 2017.
7. ↑ 1 2 3 4 WikiLeaks - SpyFiles 4  . wikileaks.org. Hentet 20. december 2017. Arkiveret fra originalen 24. december 2017.
8. ↑ [ http://voices.washingtonpost.com/securityfix/2008/07/holes_in_software_autoupdate_f_1.html Sikkerhedsrettelse - Udnytter Prods-softwarefirmaer til at opdatere deres opdateringer]. Arkiveret fra originalen den 25. september 2016. Hentet 20. december 2017.
9. ↑ 1 2 Beskyttelse af vores brand fra en global spywareudbyder – Mozilla-  bloggen . Mozilla-bloggen. Dato for adgang: 19. december 2017. Arkiveret fra originalen 2. maj 2013.
10. ↑ 1 2 3 4 Janus Kopfstein. Hackere uden grænser  //  The New Yorker  : magasin. — Conde Nast , 2014-03-10. — ISSN 0028-792X . Arkiveret fra originalen den 22. december 2017.
11. ↑ 1 2 Kidane v. Etiopien  (engelsk) , Electronic Frontier Foundation  (17. februar 2014). Arkiveret fra originalen den 28. februar 2018. Hentet 20. december 2017.
12. ↑ 12 Perlroth , Nicole . Forskere finder 25 lande, der bruger overvågningssoftware  , Bits Blog . Arkiveret fra originalen den 22. december 2017. Hentet 19. december 2017.
13. ↑ ESET finder, at internetudbydere kan være involveret i de seneste FinFisher-overvågningskampagner  . www.eset.com. Hentet 22. december 2017. Arkiveret fra originalen 23. december 2017.
14. ↑ 1 2 3 4 Erfaringer fra FinFisher Mobile  Spyware , PCMAG . Arkiveret fra originalen den 3. september 2012. Hentet 19. december 2017.
15. ↑ 1 2 3 4 FinFisher - Excellence in IT Investigation  (engelsk)  (link ikke tilgængeligt) . www.finfisher.com Hentet 20. december 2017. Arkiveret fra originalen 15. oktober 2017.
16. ↑ FinFisher-kampagner, der bruger berygtet spyware FinSpy, er i vinden  , WeLiveSecurity (  21. september 2017). Arkiveret fra originalen den 22. september 2017. Hentet 22. december 2017.
17. ↑ Du klikker kun to gange: FinFisher's Global Proliferation - Citizen Lab  , The Citizen Lab (  13. marts 2013). Arkiveret fra originalen den 10. januar 2018. Hentet 24. december 2017.
18. ↑ FinSpy og FinFisher spionerer på dig via din mobiltelefon og pc  , ESET Ireland (  3. september 2012). Arkiveret fra originalen den 24. december 2017. Hentet 24. december 2017.
19. ↑ Finfisher and the Ethics of Detection  , WeLiveSecurity (  31. august 2012). Arkiveret fra originalen den 22. december 2017. Hentet 19. december 2017.
20. ↑ FinFisher hjælper folk med at spionere på dig via din mobiltelefon, på godt eller ondt?  (engelsk) , WeLiveSecurity  (30. august 2012). Arkiveret fra originalen den 5. oktober 2017. Hentet 19. december 2017.
21. ↑ Kaspersky Lab. Cyberlejesoldater og lovlig malware . www.kaspersky.ru Hentet 22. december 2017. Arkiveret fra originalen 23. december 2017. (ubestemt)
22. ↑ Dr.Web - et bibliotek med gratis hjælpeprogrammer . free.drweb.ru. Hentet 22. december 2017. Arkiveret fra originalen 23. december 2017. (ubestemt)

Hackerangreb fra 2010'erne
Største angreb	Cyber ​​​​angreb i Australien (2010) Operation Digi Notar Operation Hacking og nedlukning af PlayStation Network Operation iståge Operation Red October email LinkedIn hack (2012) Cyber ​​​​angreb på Sydkorea (2013) snapchat Driftsvarer Masse hacking af iCloud-konto Hacking af Sony Pictures Entertainment-servere Cyberangreb på den amerikanske demokratiske nationale komité Cyberangreb på Dyn Cyberangreb på Palace of Westminster WannaCry ransomware angreb Hackerangreb på Ukraine (2017)
Grupper og fællesskaber af hackere	Anonym international Anonym cyberkut Division 121 Hyggelig bjørn Derp GNAA fantasibjørn Goatse Security Lizard Squad LulzRaft LulzSec NullCrew Afdeling 61398 RedHack Syrisk elektronisk hær Yemens elektroniske hær Irans elektroniske hær TeaMp0isoN adgangsoperationer UGNazi
enlige hackere	Jeremy Hammond George Hotz Guccifer Guccifer Sabu Topiary The Jester weev
Opdaget kritiske sårbarheder	Heartbleed (SSL, 2014) Bashdoor (Bash, 2014) PUDLE (SSL, 2014) Rootpipe (OSX, 2014) JASBUG (Windows, 2015) Stagefright (Android, 2015) DROWN (TLS, 2016) Badlock (SMB/CIFS, 2016) Dirty Cow (Linux, 2016) EternalBlue ( SMBv1 , 2017) DoublePulsar (2017) KRACK (2017) ROCA (2017) BlueBorn (2017) Nedsmeltning (2018) Spectre (2018) Blue Keep (2019)
Computervirus	Asprox dårlig kanin BASHLIT Bredolab Carbanak carberp Careto carna Citadel CryptoLocker Cutwail Dexter donbot Dridex duqu EternalRocks FinFisher flamme Gameover ZeuS Gauss Grum Gumblar Kelihos Koobface Lethic Locky Madi Mahdi Mariposa Metulji Mirai Necurs NetTraveler Nitol Petya R2D2 Regin Rustock Shamoon SpyEye stjerner Stuxnet TDL-4 Virut Vulcanbot WannaCry Nul adgang ANT katalog
2000'erne • 2010'erne • 2020'erne