Istraživači kompanije Kaspersky predstavili su opsežnu istragu o svim nedavnim ažuriranjima koja su ubačena u spajver FinSpy za Windows, Mac OS, Linux i njihove instalatere. Istraživanje, koje je trajalo osam meseci, otkriva četvoroslojnu obfuskaciju i napredne mere protiv analize koje su upotrebili programeri spajvera, kao i korišćenje UEFI bootkit-a za inficiranje žrtava. Nalazi ukazuju na to da je stavljen veliki akcenat na izbegavanje odbrane, što FinFisher čini jednim od spajvera koji su najteži za otkrivanje do sada.
FinFisher, takođe poznat i kao FinSpy ili Wingbird, je alat za nadzor, koji kompanija Kaspersky prati od 2011. godine. On može da prikuplja različite kredencijale, liste fajlova i izbrisane fajlove, kao i razna dokumenta, livestreaming ili može da snima podatke i pristupi veb-kameri i mikrofonu. Njegovi Windows implanti su otkriveni i istraživani nekoliko puta do 2018. godine kada je izgledalo kao da je FinFisher spajver nestao.
Nakon toga, rešenja kompanije Kaspersky su detektovala sumnjive instalatere legitimnih aplikacija kao što su TeamViewer, VLC Media Player i WinRAR, koji su sadržali maliciozni kôd koji nije mogao da se dovede u vezu sa bilo kojim poznatim malverom. Sve dok jednog dana nisu otkrili veb-sajt na burmanskom jeziku koji je sadržao inficirane instalatere i uzorke FinFisher spajvera za Android, što im je pomoglo da otkriju da su napadnuti Trojancem sa istim spajverom. Ovo otkriće je podstaklo istraživače kompanije Kaspersky da dodatno istraže FinFisher.
Za razliku od prethodnih verzija spajvera, koje su momentalno podrazumevale postojanje Trojanca u inficiranoj aplikaciji, novi uzorci su bili zaštićeni sa dve komponente: to su neuporni Pre-Validator i Post-Validator. Prva komponenta pokreće više bezbednosnih provera kako bi se osiguralo da uređaj koji inficira ne pripada istraživaču bezbednosti. Tek nakon izvršene provere server otprema Post-Validator komponentu – ova komponenta osigurava da je inficirana targetirana žrtva. Tek tada server pokreće implementaciju celokupne trojanske platforme.
FinFisher je veoma obfuskovan sa četiri složena posebno napravljena obfuskatora. Primarna funkcija ove obfuskacije je usporavanje analize spajvera. Povrh toga, Trojanac takođe koristi interesantne načine prikupljanja informacija. Na primer, koristi programerski mod u pregledačima kako bi presretao saobraćaj zaštićen HTTPS protokolom.
Istraživači su takođe otkrili uzorak FinFisher spajvera koji je zamenio Windows UEFI bootloader – komponentu koja pokreće operativni sistem nakon lansiranja firmvera zajedno sa onim malicioznim. Ovakav način inficiranja omogućio je napadačima da instaliraju bootkit bez potrebe za zaobilaženjem bezbednosnih provera firmvera. UEFI infekcije su vrlo retke i generalno ih je teško izvesti, ističu se mogućnošću prikrivanja i upornošću. Iako u ovom slučaju napadači nisu inficirali sam UEFI firmver, već njegovu sledeću fazu pokretanja, napad je bio izuzetno dobro prikriven s obzirom na to da je maliciozni modul instaliran na zasebnoj particiji i mogao je da kontroliše proces pokretanja inficiranog uređaja.
„Količina rada koja je bila potrebna da bi FinFisher postao nedostupan istraživačima bezbednosti je posebno zabrinjavajuća i pomalo impresivna. Čini se da su programeri uložili barem toliko truda u prikrivanje spajvera i mere protiv analize kao i u samog Trojanca. Kao rezultat, njegove sposobnosti izbegavanja svake detekcije i analize čine ovaj spajver posebno teškim za praćenje i otkrivanje. Činjenica da je ovaj spajver postavljen sa velikom preciznošću i da ga je praktično nemoguće analizirati takođe znači da su njegove žrtve posebno ranjive, a istraživači se suočavaju sa izuzetnim izazovom – s obzirom na to da moraju da ulože ogromnu količinu resursa u raspetljavanje apsolutno svakog uzorka. Verujem da složene pretnje, kao što je FinFisher, pokazuju važnost saradnje i razmene znanja među istraživačima bezbednosti, kao i investiranja u nove vrste bezbednosnih rešenja koja mogu da se bore protiv takvih pretnji,” komentariše Igor Kuznecov (Igor Kuznetsov), glavni istraživač bezbednosti u globalnom timu za istraživanje i analizu kompanije Kaspersky (Global Research and Analysis Team – GReAT).
Izveštaj o FinFisher spajveru možete da pročitate u celosti na Securelist.
Da biste se sačuvali od pretnji kao što je FinFisher, kompanija Kaspersky predlaže:
- Preuzimajte svoje aplikacije i programe sa pouzdanih veb-sajtova.
- Ne zaboravite da redovno ažurirate svoj operativni sistem i sve softvere. Mnogi bezbednosni problem mogu da se reše instaliranjem ažuriranih verzija softvera.
- Nemojte uvek verovati priloženim fajlovima u i-mejlovima. Pre nego što ih otvorite ili uđete na link, dobro razmislite: Da li vam je to poslao neko koga znate i kome verujete; da li ste to očekivali; da li je pouzdano? Pređite kursorom preko linkova i priloženih fajlova da biste videli kako se zovu ili gde zaista vode.
- Izbegavajte instaliranje softvera iz nepoznatih izvora. Oni mogu i jako često sadrže maliciozne fajlove.
- Koristite jako bezbednosno rešenje na svim računarima i mobilnim uređajima, kao što su Kaspersky Internet Security for Android ili Kaspersky Total Security.