Cercetătorii Kaspersky au prezentat o investigație detaliată asupra tuturor actualizărilor recente introduse în spyware-ul FinSpy pentru Windows, Mac OS, Linux și instalatorii acestora. Cercetarea, care a durat opt luni, a scos la iveală implementarea programelor de escamotare în patru straturi și măsuri avansate de anti-analiză folosite de dezvoltatorii de spyware, precum și utilizarea unui bootkit UEFI pentru infectarea victimelor. Descoperirile sugerează un accent deosebit pe evitarea sistemelor de protecție, făcând din FinFisher unul dintre cele mai greu de detectat spyware de până acum.
FinFisher, cunoscut și sub numele de FinSpy sau Wingbird, este un instrument de supraveghere, pe care Kaspersky îl urmărește din 2011. Este capabil să adune diverse date de acreditare, listări de fișiere și fișiere șterse, precum și diverse documente, streaming live sau înregistrări de date, inclusiv acces la camere web și microfoane. Implanturile sale Windows au fost detectate și cercetate de mai multe ori până în 2018, când FinFisher părea să fi ieșit de pe radar.
După aceea, soluțiile Kaspersky au detectat instalatori suspecți de aplicații legitime, precum TeamViewer, VLC Media Player și WinRAR, care conțineau coduri rău intenționate care nu puteau fi puse în legătură cu niciun malware cunoscut. Până când, într-o zi, au descoperit un site web în birmaneză, care conținea programele de instalare infectate și mostre de FinFisher pentru Android, ajutând la concluzia că a fost infectat cu troieni din același spyware. Această descoperire i-a împins pe cercetătorii Kaspersky să investigheze în continuare FinFisher.
Spre deosebire de versiunile anterioare ale spyware-ului, care conținea troianul în aplicația infectată, mostrele noi au fost protejate de două componente: pre-validator non-persistent și un post-validator. Prima componentă execută mai multe verificări de securitate pentru a se asigura că dispozitivul pe care îl infectează nu aparține unui cercetător de securitate. Numai când aceste verificări sunt finalizate, componenta Post-Validator este furnizată de server – această componentă se asigură că victima infectată este cea vizată. Abia atunci serverul comandă implementarea platformei troiene cu drepturi depline.
FinFisher este puternic îmbunătățit cu patru sisteme de escamotare complexe, custom-made. Funcția principală a acestui camuflaj este de a încetini analiza spyware-ului. Mai mult decât atât, troianul folosește și modalități specifice de a colecta informații. De exemplu, folosește modul dezvoltatorilor în browsere pentru a intercepta traficul protejat cu un protocol HTTPS.
Cercetătorii au descoperit, de asemenea, un eșantion de FinFisher care a înlocuit bootloader-ul Windows UEFI – o componentă care lansează sistemul de operare după lansarea firmware-ului, împreună cu unul rău intenționat. Acest tip de infecție le-a permis atacatorilor să instaleze un bootkit fără a fi nevoie să ocolească verificările de securitate ale firmware-ului. Infecțiile UEFI sunt foarte rare și, în general, greu de executat, se remarcă datorită evazivității și persistenței lor. În timp ce, în acest caz, atacatorii nu au infectat firmware-ul UEFI în sine, ci următoarea etapă de boot, atacul a fost deosebit de bine camuflat, deoarece modulul rău intenționat a fost instalat pe o partiție separată și putea controla procesul de boot al mașinii infectate.
„Cantitatea de muncă depusă pentru ca FinFisher să nu fie accesibil cercetătorilor în domeniul securității este îngrijorătoare și oarecum impresionantă. Se pare că dezvoltatorii depun cel puțin la fel de multă muncă în măsurile de camuflare și anti-analiză ca în troianul însuși. Drept urmare, capacitățile sale de a evita orice detecți și analiză fac ca acest spyware să fie deosebit de greu de urmărit și detectat. Faptul că acest spyware este implementat cu precizie ridicată și este, practice, imposibil de analizat înseamnă, de asemenea, că victimele sale sunt deosebit de vulnerabile, iar cercetătorii se confruntă cu o provocare specială – trebuie să investească o cantitate copleșitoare de resurse pentru a descurca fiecare eșantion. Cred că amenințările complexe, cum ar fi FinFisher, demonstrează importanța cooperării cercetătorilor în domeniul securității, precum a investițiilor în noi tipuri de soluții de securitate care pot combate astfel de amenințări”,
comentează Igor Kuznetsov, cercetător principal în domeniul securității la Global Research and Analysis Team (GReAT) Kaspersky.
Raportul complet despre FinFisher este disponibil pe Securelist.
Pentru a vă proteja de amenințări precum FinFisher, Kaspersky recomandă:
- Descărcați aplicațiile și programele doar de pe site-uri web de încredere.
- Nu uitați să vă actualizați regulat sistemul de operare și toate software-urile. Multe probleme de siguranță pot fi rezolvate prin instalarea unor versiuni actualizate de software.
- Nu aveți încredere în toate documentele atașate pe e-mail. Înainte de a face clic pentru a deschide un document sau a accesa un link, luați în considerare cu atenție următoarele aspecte: Este de la cineva pe care îl cunoașteți și de încredere?; este ceva ce așteptați din partea cuiva?; este curat? Plasați cursorul peste link-uri și documente pentru a vedea cum sunt denumite sau la ce sursă fac referire cu adevărat.
- Evitați instalarea de software din surse necunoscute. Acesta poate, de cele mai multe ori, să conțină fișiere suspecte.
- Utilizați o soluție de securitate puternică pe toate computerele și dispozitivele mobile
Pentru protecția organizațiilor, Kaspersky sugerează următoarele:
- Stabiliți o politică de utilizare a software-ului non-corporativ. Educați-vă angajații cu privier la riscurile descărcării aplicațiilor neautorizate din surse care nu sunt de încredere.
- Oferiți personalului dumneavoastră instruire de bază în domeniul igienei securității cibernetice, deoarece multe atacuri țintite încep cu un phishing sau alte tehnici de inginerie socială.
- Instalați soluții anti-APT și EDR, permițând descoperirea și detectarea amenințărilor, în capacități de investigare și remediere în timp util a incidentelor. Oferiți echipei SOC acces la cele mai recente informații privind amenințările și perfecționați-le în mod regulat cu pregătire profesională.
- Alături de protecția adecvată la nivel endpoint, serviciile dedicate pot ajuta împotriva atacurilor de anvergură.
