A FinFisher (más néven FinSpy vagy Wingbird) egy felügyeleti eszköz, amelyet a Kaspersky már 2011 óta figyel – írják a közleményben.

A program képes a különféle hitelesítési adatok, fájllisták és törölt fájlok, valamint különféle dokumentumok, élő streamek vagy felvételek adatainak begyűjtésére, és hozzá tud férni a webkamerához és a mikrofonhoz. A Windowsba beépülő elemeit többször is észlelték és kutatták egészen 2018-ig, amikor is a FinFisher eltűnni látszott a radarról.

Ezt követően a Kaspersky megoldásai gyanús telepítőprogramokat találtak, amelyek legális alkalmazások – pl. a TeamViewer, a VLC Media Player és a WinRAR – telepítői voltak, és olyan rosszindulatú kódot tartalmaztak, amely semmilyen ismert malware-hez nem volt köthető. Aztán egy napon találtak egy burmai nyelvű weboldalt, ahol fenn voltak a fertőzött telepítőprogramok és a FinFisher androidos változatának példányai, így sikerült megállapítani, hogy mindegyiket ugyanaz a kémprogram fertőzte meg trójai vírussal. Ez a felfedezés a FinFisher további vizsgálatára ösztönözte a Kaspersky kutatóit.

A kémprogram korábbi verzióival ellentétben, ahol a trójai vírust közvetlenül a fertőzött alkalmazás tartalmazta, az új példányokat két komponens védte: egy nem állandó elővalidátor és egy utóvalidátor. Az első komponens több biztonsági ellenőrzést futtat, hogy megbizonyosodjon arról, hogy a megfertőzendő eszköz nem egy biztonsági kutatóé-e. Az utóvalidátor komponenst csak akkor indítja el a szerver, ha ez az ellenőrzés sikeres. Ez a komponens azt biztosítja, hogy valóban a megfertőzni szándékozott áldozatot fertőzzék meg. A szerver csak ezt követően ad parancsot a teljes trójai platform telepítésére.

A FinFisher erősen obfuszkált: négy komplex egyedi obfuszkátort tartalmaz. Az obfuszkáció elsődleges funkciója a kémprogram elemzésének lelassítása. Mindezek tetejében a trójai program sajátos módszerek alkalmazásával gyűjt információkat. Fejlesztői módot használ például a böngészőben, és így fogja el a HTTPS protokollal védett forgalmat.

[+]

A kutatók felfedezték a FinFisher olyan példányát is, amelyik a Windows UEFI bootloadert (rendszerbetöltő programot) cseréli ki – ez a komponens indítja el az operációs rendszert a firmware elindulása után egy rosszindulatúval együtt. Ez a fertőzési módszer lehetővé tette, hogy a támadók a firmware biztonsági ellenőrzéseinek megkerülése nélkül telepítsenek fel egy bootkitet. Az UEFI-fertőzések nagyon ritkák és általában nehezen kivitelezhetőek, evazív és perzisztens jellegükkel tűnnek ki a többi közül. Bár ebben az esetben a támadók nem magát az UEFI firmware-t, hanem a következő bootolási szakaszt fertőzték meg, a támadás mégis különösen ravasz volt, mivel a rosszindulatú modult egy külön partícióra telepítették, így kontrollálni tudta a fertőzött gép bootolási folyamatát.

[+]

„Különösen aggasztó, ugyanakkor bizonyos fokig impresszív is, mennyi energiát fordítottak arra, hogy a FinFisher ne legyen hozzáférhető a biztonsági kutatók számára. Úgy tűnik, hogy a fejlesztők legalább annyi munkát fektettek az obfuszkációba és az anti-analízis eljárásokba, mint magába a trójai vírusba. Ennélfogva ezt a kémprogramot az észlelést és az elemzést kikerülni tudó képessége miatt különösen nehéz nyomon követni és észlelni. Nagy fokú precizitással telepítik és gyakorlatilag lehetetlen elemezni, ami egyben azt is jelenti, hogy az áldozatai különösen sérülékenyek, a kutatók pedig speciális kihívással állnak szemben, ugyanis hatalmas mennyiségű erőforrás kell ahhoz, hogy minden egyes példányt kibogozzanak. Szerintem a FinFisherhez hasonlóan komplex fenyegetések jól mutatják, milyen fontos a biztonsági kutatók közötti együttműködés és tudáscsere, valamint a hasonló fenyegetések leküzdését szolgáló új típusú biztonsági megoldásokba való beruházás” – fejtette ki Igor Kuznyecov, a Kaspersky globális kutató és elemző csapatának vezető biztonsági kutatója.

A FinFisherrel foglalkozó teljes jelentés a Securelist oldalon olvasható.