utorok, 26. septembra 2017

Spyware: Nová špehovacia kampaň
Škodlivý kód FinFisher na sledovanie využíva nový spôsob infekcie. Viacero ukazovateľov pritom naznačuje zapojenie veľkých internetových providerov.  

Novú špehovaciu kampaň zaznamenal ESET v siedmich krajinách. FinFisher či FinSpy umožňuje živé sledovanie cez webovú kameru alebo mikrofón infikovaného zariadenia, sledovanie stlačených kláves (čiže všetkého, čo sledovaná osoba napíše) aj odosielania súborov z infikovaného zariadenia. FinFisher je pritom prezentovaný ako nástroj na presadzovanie zákona a podľa medializovaných informácií ho majú využívať represívne vlády. Podľa Wikileaks.org malo v minulosti tento softvér zakúpiť aj Slovensko za 5,3 milióna eur. Ministerstvo obrany SR túto informáciu ale poprelo. Faktom je, že screenshoty z technickej podpory FinFishera zobrazovali český Windows aj s českou klávesnicou. Wikileaks sa teda mohli pri identifikácii krajiny pomýliť.

FinFisher dokáže zariadenia infikovať mnohými spôsobmi. „Novinkou je použitie takzvaného man-in-the-middle útoku, pri ktorom úlohu tohto „človeka“ uprostred tvorí vysoko pravdepodobne internetový provider“, dopĺňa Filip Kafka s tým, že takéto správanie ESET zaznamenal v dvoch dotknutých krajinách. Infekcia prebieha nasledovne: keď si chce používateľ (alebo cieľ sledovania) stiahnuť do svojho počítača jednu z legitímnych aplikácií, je presmerovaný k verzii aplikácie, ktorá je infikovaná FinFisherom. Medzi aplikácie, ktoré boli zneužité na šírenie FinFishera patrí WhatsApp, Skype, Avast, WinRAR, VLC Player a niekoľko ďalších. Celé presmerovanie na aplikáciu prešpikovanú FinFisherom sa deje bez vedomia obete.

Domnienku ESETu, že do infekcie sú zaplatení aj internetoví provideri, podporuje niekoľko faktov:
-          Geografické rozloženie detekcie najnovších variantov FinFishera.
-          Uniknuté a webom WikiLeaks zverejnené interné materiály o tom, že tvorca FinFishera ponúkal zákazníkom aj riešenie s názvom FinFly ISP, ktoré malo byť nasadené do sietí internetových providerov funkcionalitou, ktorá dokáže využívať man-in-the-middle útoky analyzované ESETom.
-          Technika infekcie použitím HTTP 307 presmerovania bola použitá identickým spôsobom v oboch dotknutých krajinách.
-          Všetky dotknuté ciele v rámci jednej krajiny používali toho istého internetového providera.
-          Tá istá metóda a formát presmerovania bola internetovým providerom použitá na filtrovanie internetového obsahu v minimálne jednej z dotknutých krajín.