FinFisher: Το εργαλείο κατασκοπείας των κυβερνήσεων μεταμφιέζεται σε WhatsApp ή Skype.
Οι νόμιμες λήψεις των δημοφιλών softwares,όπως το WhatsApp, το Skype και το VLC Player, φέρεται να έχει ευνοήσει σε επίπεδο παρόχου υπηρεσιών διαδικτύου (ISP) για να διαδώσουν μια προωθημένη μορφή λογισμικού επιτήρησης γνωστού ως ” FinFisher “, προειδοποιούν ερευνητές στον κυβερνοχώρο.
Το FinFisher πωλείται στις παγκόσμιες κυβερνήσεις και στις υπηρεσίες πληροφοριών και μπορεί να χρησιμοποιηθεί για να παρακολουθεί τις τροφοδοσίες webcam , τα πλήκτρα, τα μικρόφωνα και την περιήγηση στο διαδίκτυο. Τα έγγραφα, πουδημοσιεύθηκαν στο παρελθόν από τη WikiLeaks, δείχνουν ότι ένα εργαλείο που ονομάζεται ” FinFly ISP ” μπορεί να συνδέεται με την υπόθεση.
Τα εργαλεία ψηφιακής παρακολούθησης διακινούνται από μια διεθνή εταιρεία που ονομάζεται Gamma Group και έχουν πωληθεί στο παρελθόν σε κατασταλτικά καθεστώτα, μεταξύ των οποίων το Μπαχρέιν, η Αίγυπτος και τα Ηνωμένα Αραβικά Εμιράτα (ΗΑΕ).
Τον Μάρτιο του τρέχοντος έτους, η εταιρεία παρέστη σε μια διάσκεψη ασφάλειας που χρηματοδοτήθηκε από το Υπουργείο Εσωτερικών του Ηνωμένου Βασιλείου.
Αυτή την εβδομάδα (21 Σεπτεμβρίου), εμπειρογνώμονες για την ασφάλεια στον κυβερνοχώρο, η εταιρεία Eset υποστήριξε ότι οι νέες FinFisher παραλλαγές είχαν ανακαλυφθεί σε επτά χώρες, δύο εκ των οποίων είχαν στόχο το «man in the middle» (MitM) για επιθέσεις σε ISP επίπεδο -μέσω αυτού του spyware λογισμικού που εξυπηρετεί στην κατασκοπεία.
Οι εταιρείες που υπήρξαν δίαυλος αυτού του παράνομου εργαλείου συμπεριελάμβαναν το WhatsApp , το Skype, το Avast, το VLC Player και το WinRAR , προσθέτοντας ότι “σχεδόν κάθε εφαρμογή θα μπορούσε να χρησιμοποιηθεί κατά λάθος με αυτόν τον τρόπο”.
Όταν ένας στόχος της επιτήρησης έκανε λήψη του λογισμικού, σιωπηλά ανακατευθυνόταν σε μια έκδοση που μολύνθηκε με FinFisher, αναφέρουν οι έρευνες.
Όταν το κατεβάσετε, για παράδειγμα το Skype θα εγκατασταθεί κανονικά – αλλά η Eset βρήκε ότι θα ήταν επίσης κρυφά συνδεδεμένο με το εργαλείο επιτήρησης.
Η μυστική διαδικασία μόλυνσης περιγράφηκε ως αόρατη με γυμνό μάτι (invisible to the naked eye).
Οι επτά χώρες δεν κατονομάστηκαν για λόγους ασφαλείας, δήλωσε η Eset. Το WhatsApp και το VLC Player δεν απάντησαν στο αίτημα για σχολιασμό μετά τη δημοσίευση.
Ένας εκπρόσωπος της Microsoft, αναφερόμενος στις μολύνσεις του Skype, δήλωσε: “Η προστασία του cloud από τα προγράμματα προστασίας από ιούς του Windows Defender αναγνωρίζει αυτόματα και αποκλείει το κακόβουλο λογισμικό.
“Για τους πελάτες που δεν χρησιμοποιούν cloud, έχουμε αναπτύξει υπογραφές για να προστατεύσουμε από αυτό το δωρεάν λογισμικό προστασίας από ιούς”, πρόσθεσε η δήλωση.
Ένας εκπρόσωπος της Avast επισήμανε: “Οι επιτιθέμενοι πάντα θα επικεντρωθούν στους πιο σημαντικούς στόχους και όχι στον απλό πολίτη.
“Η περιτύλιξη των επίσημων εγκαταστατών νόμιμων εφαρμογών με κακόβουλο λογισμικό δεν είναι μια νέα ιδέα και δεν εκπλήσσομαι που βλέπουμε τις εφαρμογές για υπολογιστές που αναφέρονται στην παρούσα έκθεση.
«Εκείνο όμως που προκαλεί τεράστια εντύπωση είναι ότι συμβαίνει σε υψηλότερο επίπεδο».
“Δεν γνωρίζουμε εάν οι πάροχοι υπηρεσιών διαδικτύου συνεργάζονται με τους διανομείς κακόβουλου λογισμικού ή εάν έχουν εμπλακεί οι υποδομές των παρόχων υπηρεσιών διαδικτύου .”
Η τελευταία έκδοση του FinFisher εντοπίστηκε με νέο προσαρμοσμένο κώδικα ο οποίος την κράτησε από το να ανακαλυφθεί, αυτό που ο Eset χαρακτήρισε ως “τακτικές βελτιώσεις”. Ορισμένα κόλπα, πρόσθεσε, είχαν ως στόχο να διακυβεύσουν το λογισμικό κρυπτογράφησης “end-to-end” (E2E) και τα γνωστά εργαλεία προστασίας προσωπικών δεδομένων.
Μία τέτοια εφαρμογή ήταν η Threema , μια ασφαλής υπηρεσία ανταλλαγής μηνυμάτων.
«Μία από τις κύριες συνέπειες της ανακάλυψης είναι ότι αποφάσισαν να χρησιμοποιήσουν την πιο αποτελεσματική μέθοδος μόλυνσης και ότι στην πραγματικότητα δεν είναι δύσκολο να εφαρμοστεί από τεχνικής πλευράς,» Filip Kafka, ένα ερευνητής malware στο Eset.
“Επειδή βλέπουμε ότι υπάρχουν περισσότερες μολύνσεις από ό, τι στις προηγούμενες εκστρατείες παρακολούθησης και κατασκοπείας, φαίνεται ότι το FinFisher χρησιμοποιείται πλέον ευρύτερα στην παρακολούθηση των πολιτών στις πληγείσες χώρες”.
Το σπάσιμο της κρυπτογράφησης έχει γίνει ένα σημαντικό σημείο των κυβερνήσεων σε όλο τον κόσμο, πολλές από τις οποίες διεξάγουν μαζική συλλογή επικοινωνιών. Οι πολιτικοί ισχυρίζονται, συχνά χωρίς αποδεικτικά στοιχεία, ότι το λογισμικό από εταιρείες όπως το WhatsApp έχει καταστεί συνεργάτηςγια τους τρομοκράτες.
Το εγχειρίδιο χρήσης του κατασκοπευτικού εργαλείου καυχιέται: “Το FinFly ISP είναι σε θέση να διορθώσει τα αρχεία που έχουν μεταφορτωθεί από το στόχο επί τόπου ή να στείλει ψεύτικες ενημερώσεις λογισμικού για να βρίσκεται πάντα σε εγρήγορση”.
Πρόσθεσε ότι “μπορεί να εγκατασταθεί σε ένα δίκτυο παροχέα υπηρεσιών διαδικτύου” και ανέφερε μια περίπτωση χρήσης όταν είχε προηγουμένως αναπτυχθεί από ένα ανώνυμο πρακτορείο πληροφοριών.
Η Eset διαπίστωσε ότι όλοι οι ενδιαφερόμενοι στόχοι σε μια από τις χώρες χρησιμοποιούν τον ίδιο ISP.
“Εάν επιβεβαιωθούν αυτές οι εκστρατείες, το FinFisher θα αποτελέσει ένα εξελιγμένο και μυστικό σχέδιο επιτήρησης χωρίς προηγούμενο στο συνδυασμό των μεθόδων και της προσέγγισής του”.
Εξακολουθεί να είναι άγνωστο ποιος ήταν πίσω από τις νέες εκστρατείες πειρατείας, αλλά το FinFisher είναι σχεδόν αποκλειστικά προσαρμοσμένο στην κυβέρνηση, την αστυνομία ή τη χρήση για τις υπηρεσίες πληροφοριών.
“Δεν μπορούμε να πούμε με βεβαιότητα ποιος είναι πίσω από την εκστρατεία, αλλά η επαναπροσανατολισμός του ISP μπορεί να είναι μια υπηρεσία που έχει παραγγείλει από την FinFisher ένα κράτος για δόλιο σκοπό”, δήλωσε ο Kafka.
Δεν είναι η πρώτη φορά που η εταιρεία, η οποία έχει γραφεία στην Ευρώπη, έχει συνδεθεί με αμφισβητήσιμες επιχειρηματικές πρακτικές.
Το 2013, η τεχνολογική εταιρία Mozilla της έστειλε επιστολή κατάπαυσης και εγκατάλειψης, αφού το λογισμικό της παγιδεύτηκε ως έκδοση του προγράμματος περιήγησης Firefox.
