Раскрыты подробности новой кампании по распространению шпионского ПО FinFisher

image

Теги: шпионаж, FinFisher, MitM-атака, интрнет-провайдер

География кампании охватывает семь стран и в двух из них к атакам предположительно причастны интернет-провайдеры.

Эксперты компании ESET обнаружили кампанию по распространению новой версии вредоносного ПО FinFisher, также известного как FinSpy. География кампании охватывает семь стран и, как полагают исследователи, в двух из них к атакам причастны крупные интернет-провайдеры.

По словам экспертов, помимо усовершенствованного функционала, ряд вариантов FinFisher «используют ранее неизвестный вектор атаки с четкими свидетельствами причастности интернет-провайдеров». В связи с соображениями безопасности специалисты не раскрывают страны, которые затрагивает кампания.

FinFisher представляет собой мощный инструмент для кибершпионажа, разработанный компанией Gamma Group, и предназначенный для использования правоохранительными органами. Функционал программы включает возможность перехвата коммуникаций, записи нажатий клавиш, наблюдения через web-камеры и микрофоны.

Основная особенность новой кампании в аспекте распространения FinFisher заключается в использовании злоумышленниками атак «человек посередине» (MitM) на уровне интернет-провайдера. При попытке жертвы скачать с официального сайта одно из популярных приложений (WhatsApp, Skype, Avast, WinRAR, VLC Player и пр.) происходит перенаправление на сервер атакующих. В результате на компьютер объекта загружается инфицированная FinFisher версия легитимного ПО.

Эксперты привели ряд фактов в подтверждение предположения о причастности интернет-провайдеров к данной кампании. Во-первых, согласно документам, обнародованным WikiLeaks, производитель FinFisher также предлагает решение FinFly ISP, предназначенное для использования в сетях провайдеров и обладающее возможностями для проведения MitM-атак. Во-вторых, применяемый метод инфицирования (с использованием временного редиректа HTTP 307) в двух затронутых странах реализован одним и тем же способом, в-третьих, все владельцы скомпрометированных устройств в одной из стран пользовались услугами одного провайдера. Наконец, в одной из стран тот же метод редиректа использовался провайдерами для фильтрации интернет-контента.

Gamma Group - международная компания, специализирующаяся на производстве систем для наблюдения и мониторинга, с представительствами в Европе, Африке, Азии и на Ближнем Востоке.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus