Najnovije nadogradnje špijunskog softvera FinFisher „posebno zabrinjavajuće“, kaže Kaspersky
FinFisher, takođe poznat kao FinSpy, proizvod je anglo-nemačke špijunske firme Gamma International.
Nova analiza otkriva four-layer obfuscation, two-stage loader i novi UEFI napad
Isporučuje se isključivo policijskim i obavještajnim agencijama za upotrebu kao oruđe za nadzor.
Softver je navodno koristila bivša egipatska vlada Hosnija Mubaraka za špijuniranje neistomišljenika, a vlada Bahreina za špijuniranje bahreinskih aktivista u Britaniji – što je dovelo do toga da je softver otkriven kao kršenje ljudskih prava. Komplet alata prima česta ažuriranja kako bi se izbeglo otkrivanje i dodala nova funkcionalnost, pri čemu je Kaspersky prethodno istraživao ažuriranje za 2019. koje je pojačalo njegove mogućnosti špijuniranja uključujući chat, fizičko kretanje, pristup mikrofonu i kameri, zajedno sa lokalno pohranjenim podacima i eksfiltracijom.
U najnovijem izveštaju kompanije Kaspersky o alatu, istraživački tim kompanije je tvrdio da su tvorci FinFishera radili na sakrivanju alata od otkrivanja zlonamernog softvera, pa čak i profesionalne analize. Za razliku od prethodnih verzija špijunskog softvera, koji je u zaraženoj aplikaciji odmah sadržao trojance, nove uzorke štitile su dve komponente: nepostojani Pre-validator i Post-Validator, navodi se u izveštaju. Predvalidator vrši niz provera kako bi utvrdio da li zaraženi sistem može pripadati istraživaču bezbednosti koji analizira zlonamerni softver, odbijajući da dozvoli infekciji da se uhvati u tom slučaju. Ako se predvalidator ne pokrene, server za naredbe i kontrolu obezbeđuje post-validator da proveri da li je zaraženi sistem zaista ciljni uređaj – i samo ako oba testa budu tačna, trojanac će biti preuzet i instaliran.
Istraživači su takođe otkrili sistem „četvoroslojnog zatamnjivanja (four-layer obfuscation)“, dizajniran da zaštiti malver od analize u slučaju da na neki način padne u pogrešne ruke, i jedan uzorak koji je dizajniran da zameni bootloader Windows Unified Extensible Firmware Interface (UEFI) sopstvenim zlonamernim ekvivalentom – instaliranje infekcije bez pokretanja bezbednosnih provera firmvera. Količina posla koja je uložena u to da FinFisher postane nedostupan istraživačima bezbednosti posebno je zabrinjavajući i donekle impresivan. Čini se da su programeri uložili najmanje toliko truda u mere zatamnjivanja i anti-analize kao i u samom Trojanu, rekao je Kaspersky.
Zbog toga njegove mogućnosti da izbegne svako otkrivanje i analizu čine ovaj špijunski softver posebno teškim za praćenje i otkrivanje. Činjenica da je ovaj špijunski softver postavljen s velikom preciznošću i da ga je praktično nemoguće analizirati takođe znači da su njegove žrtve posebno ranjive, a istraživači suočeni sa posebnim izazovom. UEFI infekcije su veoma retke i generalno ih je teško izvesti, ističu se zbog izbegavanja i upornosti, tvrde istraživači. Iako u ovom slučaju napadači nisu inficirali sam UEFI firmver, već njegovu sledeću fazu pokretanja, napad je bio posebno prikriven jer je zlonamerni modul instaliran na zasebnoj particiji i mogao je da kontroliše proces pokretanja zaražene mašine.
Savet kompanije Kaspersky svima koji žele da se zaštite od FinFisher-a i sličnih napada: nabavite softver samo sa pouzdanih veb lokacija; ažurirajte sav softver i sam operativni sistem; podrazumevano imajte nepoverenja u email atačmente i izbegavajte instaliranje softvera iz nepoznatih izvora. Ceo izveštaj je sada dostupan za čitanje na Kaspersky Securelist-i. Kompanija je odbila da saopšti detalje o broju ili identitetu meta otkrivenih tokom istrage – iako je navela da su se dva cilja UEFI infekcije nalazila u Evropi i Aziji. Gamma International nije odgovorila na zahtev za komentar u vreme objavljivanja.
Izvor: Theregister
