Компания
456,36
рейтинг
15 сентября 2014 в 20:49

Разработка → WikiLeaks публикует список стран-клиентов FinFisher

Сегодня WikiLeaks опубликовал обещанную порцию секретных документов, которые раскрывают список государств, силовые и разведывательные структуры которых пользовались услугами вредоносного шпионского ПО FinFisher. В этот список вошли Словакия, Монголия, Катар, ЮАР, Бахрейн, Пакистан, Эстония, Вьетнам, Австралия, Бельгия, Нигерия, Голландия, Сингапур, Бангладеш, Венгрия, Италия, Босния и Герцеговина. WikiLeaks также посчитали суммарную стоимость всех лицензий, которые были приобретены вышеперечисленными государствами. Получилась внушительная сумма в более чем 47 миллионов евро. Столько было потрачено спецслужбами государств на реализацию операций кибершпионажа.



Сам FinFisher распространяется через несколько европейских фирм, при этом клиентами являются исключительно органы гос. безопасности или фирмы, тесно связанные с таковыми. Вредоносная программа относится к семейству spyware и используется для операций шпионажа за пользователями, при этом функциональность может быть расширена по желанию заказчика. Вредоносный код может быть использован для различных целей, например, перехват разговоров Skype.

Способы распространения FinFisher практически не отличаются от тех, которыми пользуются обычные злоумышленники, а именно, вложения в фишинговых сообщениях, поддельные обновления для известного ПО, автоматическая установка через эксплойты. Один из способов распространения FinFisher, который получил большой резонанс после обнародования, заключался в эксплуатации уязвимости механизма обновления известного ПО Apple iTunes. При обновлении iTunes на ПК мог быть автоматически установлен FinFisher.

Одна из модификаций FinFisher обнаруживается AV-продуктами ESET как Win32/Belesak.D.
Автор: @esetnod32
ESET NOD32
рейтинг 456,36

Комментарии (28)

  • +14
    По какому принципу выбирается название для spyware определяемого антивирусом?
    • +1
      Как и у биологов, наверное, исследователь нашедший новый вирус, вправе дать ему имя. :)
    • +2
      В 95% случаев — при отсутствии какой-то дополнительной информации — по найденным внутри бинарника строчкам или другим легко видимым глазом сингатурам.
  • НЛО прилетело и опубликовало эту надпись здесь
  • +4
    Монголия?
    • +3
      Нигерия?..
      • +18
        Шампань или прованс.
      • –1
        Потому так и живут.
    • +2
      Хочу посмотреть фильм про битву разведки Монголии с разведкой Эстонии.
      • +26
        На протяжении этой унылой картины каждая из сторон пытается выяснить, где находится противник.
      • 0
        Вспоминается анекдот про ночной кошмар Брежнева: ядерный конфликт на финско-китайской границе.
      • +1
  • +8
    4. Эксплойт FinFly Web используется в атаках drive-by или внедряется на уровне интернет-провайдера в страницы Gmail, Youtube и прочих популярных сайтов.

    5. FinFly ISP. Техника доставки трояна жертве на уровне интернет-провайдера путем автоматического внедрения кода во все исполняемые файлы, которые загружает пользователь.

    Ничего себе.
    • +1
      Вопрос в том, а много ли исполняемых файлов мы скачиваем?
      Такое оборудование что-то из области фантастики. Это ж нужно поймать весь exe-шник, собрать его, внедрить, запаковать и передать дальше.
      • 0
        И чтобы проверка подписей проходила.
        • 0
          Как думаете, реальный ли такой софт? Ставим к провайдеру или в «разрыв ethernet» и заражаем?
          Либо там у Била Гейтса есть заначки, чтобы файлы запускались без всяких првоерок.
          Pdf-ки созданы в начале января этого года.
          • +1
            Мало заразить, нужно еще заразить так, чтобы антивирусы не отреагировали — ни один из нескольких десятков распространенных. На банальности типа подмены точки входа уже давно никто не разменивается, значит, нужно делать что-то крутое, типа декомпиляции в LLVM-байткод, подмешиванию своего кода равномерно по всему бинарнику и сборке обратно с пересчетом всех адресов и смещений. И чтобы подписи при этом совпадали, да.

            Если бы речь об этом шла не в контексте злой корпорации, овладевающей миром, я бы сказал «школохакеры вышли на каникулы». А так не знаю даже… Это не то, что невозможно (в части подмешивания своего кода), но сделать так, чтобы это работало в 100% случаев?

            Возможно, они вручную скрафтили несколько популярных инфицированных бинарников и меняют только их?
      • +7
        Те же браузеры не редко обновляются
    • +1
      https спасет мир… видать не зря гугл его продвигает.
      Это в огород тем, кто заявляет «мне не нужен https на сайте-визитке».
      Нужен. Везде нужен!
      • +6
        От происков государства HTTPS может не помочь. Простой пример: в 99% браузеров в кэш доверенных CA «из коробки» установлен CA CNNIC, подразделения Министерства промышленности Китая. Если данное министерство возжелает устроить вам MitM, вы об этом даже не узнаете.

        (извините, я не знаю ничего лично про вас, но предполагаю, что вы входите в те 99%. Могу ошибаться.)

        GPG-подписывание пакетов — куда более надёжный способ, чем HTTPS.
        • +8
          GPG-подписывание пакетов — куда более надёжный способ, чем HTTPS.
          Never bring tequila to a key-signing party.
          • +2
            А всё равно GPG надёжнее. Потому что я боюсь даже предположить, сколько ключей к CA-сертификатам могло быть протеряно подобным способом %-)
        • 0
          Проверил в своем хроме список сертификатов. Ничего похожего на описанное вами.
          Ну и в любом случае, вот вы сказали что такая проблема может быть. Я слазил и посмотрел.
          Если бы там был такой сертификат — удалил бы его. И все, не влезешь ко мне по https.
          Так что https вполне надежен, просто надо смотреть что там за ключи.

          По поводу GPG — я не совсем понимаю как это поможет в серфинге?
          • 0
            > Так что https вполне надежен, просто надо смотреть что там за ключи.

            Или, выражаясь иначе, «insecure by default».

            > По поводу GPG — я не совсем понимаю как это поможет в серфинге?

            Речь в начале треда шла не о сёрфинге, а о компрометации загружаемых через Интернет исполняемых файлов. Сёрфинг — другая, более сложная задача.
    • +1
      image

      исходники, приятного развлечения github.com/FinFisher/FinFly-Web
  • +2
    Разработчики небось и в мастер ноду залепили бэкдор. Спецслужбы следят за гражданами, а «большие братья» следят за спецслужбами.
  • 0
    Я правильно понял, что признанные гранды, вроде Kaspersky, это пакость не обнаруживают? Википедия пишет, что Евгений Касперский выразил мысль, что они детектят любую малварь, без различия ее назначения, но пока утверждений, что KAV умеет ловить FinFisher, я что-то не нахожу…
  • –1
    Так-то одни передовые страны, как я посмотрю...

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка