מחקר חדש: ספקיות אינטרנט מעורבות בקמפיינים האחרונים של FinFisher
עמי רוחקס דומבה
| 25/09/2017
http://www.finfisher.com/FinFisher/index.html
חוקרי חברת אבטחת המידע ESET זיהו קמפיין מעקב באמצעות גרסה חדשה של FinFisher, תוכנת הריגול הידועה לשמצה הידוע גם בשם FinSpy. 7 מדינות הושפעו מהקמפיינים האחרונים (על מנת לא לסכן אף מדינה, ESET לא חושפת את שמן), ובשתיים מהן, ספקיות האינטרנט הגדולות היו מעורבות ככל הנראה בהדבקת מטרות המעקב.
"בשני הקמפיינים שחקרנו, תוכנת הריגול התפשטה באמצעות התקפת man-in-the-middle, ואנו מאמינים כי ספקיות אינטרנט גדולות באותן מדינות מילאו תפקיד משמעותי במתקפה", מסביר פיליפ קפקא, אנליסט נוזקות ב-ESET שערך את המחקר. FinFisher היא תוכנת ריגול הידועה ככלי שמשמש את גורמי אכיפת חוק ונמכרת לסוכנויות ממשלתיות ברחבי העולם. ככל הנראה נעשה בה שימוש על ידי משטרים מדכאים בריגול אחר אזרחים.
לתוכנת הריגול FinFisher יש יכולות ריגול נרחבות, כגון מעקב בזמן אמת באמצעות מצלמות אינטרנט ומיקרופונים, תיעוד הקלדות (keylogger), והעברה של קבצים. בגרסה הנוכחית ישנם מספר שיפורים, שמטרתם לחזק את יכולות הריגול של התוכנה, ובעצם מאפשרים לה להישאר תחת הראדר ולמנוע ניתוח והתחקות אחריה. החידוש החשוב ביותר, עם זאת, הוא האופן שבו כלי הריגול מועבר למכשירים.
כאשר המשתמשים מורידים אחת מתוך כמה אפליקציות פופולריות כגון WhatsApp, Skype או VLC Player, הם מנותבים לשרת של התוקף. שם, הם מקבלים חבילת התקנה הנגועה ב-FinFisher. "במהלך המחקר שלנו, מצאנו מספר אינדיקטורים המצביעים כי ניתוב מחדש קורה ברמה של ספקית שירותי אינטרנט גדולה", אומר קפקא. לדברי קפקא, לראשונה קמפיינים שבהם ישנה מעורבות סבירה של ספקיות אינטרנט מרכזיות בהפצת נוזקות, נחשפים לציבור הרחב. "הקמפיינים של FinFisher הם מעקבים מתוחכמים וחמקמקים, חסרי תקדים מבחינת השיטות והתפוצה שלהם".
לפרטים נוספים, קראו את מאמרו של פיליפ קפקא בבלוג האבטחה של ESET.
http://www.finfisher.com/FinFisher/index.html
חוקרי חברת אבטחת המידע ESET זיהו קמפיין מעקב באמצעות גרסה חדשה של FinFisher, תוכנת הריגול הידועה לשמצה הידוע גם בשם FinSpy. 7 מדינות הושפעו מהקמפיינים האחרונים (על מנת לא לסכן אף מדינה, ESET לא חושפת את שמן), ובשתיים מהן, ספקיות האינטרנט הגדולות היו מעורבות ככל הנראה בהדבקת מטרות המעקב.
"בשני הקמפיינים שחקרנו, תוכנת הריגול התפשטה באמצעות התקפת man-in-the-middle, ואנו מאמינים כי ספקיות אינטרנט גדולות באותן מדינות מילאו תפקיד משמעותי במתקפה", מסביר פיליפ קפקא, אנליסט נוזקות ב-ESET שערך את המחקר. FinFisher היא תוכנת ריגול הידועה ככלי שמשמש את גורמי אכיפת חוק ונמכרת לסוכנויות ממשלתיות ברחבי העולם. ככל הנראה נעשה בה שימוש על ידי משטרים מדכאים בריגול אחר אזרחים.
לתוכנת הריגול FinFisher יש יכולות ריגול נרחבות, כגון מעקב בזמן אמת באמצעות מצלמות אינטרנט ומיקרופונים, תיעוד הקלדות (keylogger), והעברה של קבצים. בגרסה הנוכחית ישנם מספר שיפורים, שמטרתם לחזק את יכולות הריגול של התוכנה, ובעצם מאפשרים לה להישאר תחת הראדר ולמנוע ניתוח והתחקות אחריה. החידוש החשוב ביותר, עם זאת, הוא האופן שבו כלי הריגול מועבר למכשירים.
כאשר המשתמשים מורידים אחת מתוך כמה אפליקציות פופולריות כגון WhatsApp, Skype או VLC Player, הם מנותבים לשרת של התוקף. שם, הם מקבלים חבילת התקנה הנגועה ב-FinFisher. "במהלך המחקר שלנו, מצאנו מספר אינדיקטורים המצביעים כי ניתוב מחדש קורה ברמה של ספקית שירותי אינטרנט גדולה", אומר קפקא. לדברי קפקא, לראשונה קמפיינים שבהם ישנה מעורבות סבירה של ספקיות אינטרנט מרכזיות בהפצת נוזקות, נחשפים לציבור הרחב. "הקמפיינים של FinFisher הם מעקבים מתוחכמים וחמקמקים, חסרי תקדים מבחינת השיטות והתפוצה שלהם".
לפרטים נוספים, קראו את מאמרו של פיליפ קפקא בבלוג האבטחה של ESET.
