Špehovací software FinFisher je ještě zákeřnější, vylepšil svůj arzenál
Výrazně nebezpečnější a zákeřnější je sledovací software (spyware) FinFisher. Bezpečnostní experti společnosti Kaspersky během osmiměsíční komplexní analýzy všech nedávných aktualizací FinFisher pro Windows, Mac OS a Linux a jeho instalačních programů odhalili čtyřvrstvou obfuskaci (převádění zdrojového kódu konkrétního programu do stejného zdrojového kódu, při kterém se provede několik změn), pokročilá antianalytická opatření a také použití UEFI bootkitu k infikování obětí.
To vše
dokazuje velkou snahu vývojářů spywaru o obcházení bezpečnostních řešení, což z FinFisheru
dělá jeden z nejhůře odhalitelných spywarů!
FinFisher,
známý také jako FinSpy nebo Wingbird, je sledovací nástroj, který je schopen
shromažďovat oprávnění, výpisy souborů, smazané soubory nebo různé dokumenty,
živě přenášet nebo nahrávat data a získat přístup k webové kameře a mikrofonu.
Jeho implantáty do systému Windows se několikrát detekovaly a zkoumaly až do
roku 2018, kdy FinFisher zdánlivě zmizel ze scény.
Ústup ze scény byl ale jen fingovaný
Řešení
společnosti Kaspersky však později detekovala podezřelé instalátory legitimních
aplikací, jako jsou TeamViewer, VLC Media Player a WinRAR. Tyto instalátory
obsahovaly škodlivý kód, který nebylo možné ztotožnit s žádným známým malwarem,
tedy až do chvíle, kdy se objevila webová stránka v barmštině, která obsahovala
infikované instalační programy a vzorky FinFisheru pro Android, což pomohlo
identifikovat, že se jedná o trojské koně se stejným spywarem. Tento objev
přiměl výzkumníky společnosti Kaspersky k dalšímu zkoumání FinFisheru.
Na rozdíl od
předchozích verzí spywaru, které obsahovaly trojského koně hned v infikované
aplikaci, nové vzorky chránily dvě komponenty: neperzistentní prevalidátor a
postvalidátor. První komponenta provádí několik bezpečnostních kontrol, aby se
ujistila, že infikované zařízení nepatří bezpečnostnímu výzkumníkovi. Teprve
když jsou tyto kontroly úspěšné, je načte se ze serveru postvalidátor. Tato
komponenta zkontroluje, že jde o zařízení oběti, kterou má infikovat. Teprve
poté vydá server příkaz k nasazení plnohodnotné platformy trojského koně.
FinFisher je
silně obfuskován pomocí čtyř komplexních, na míru vytvořených obfuskátorů.
Hlavním účelem obfuskace, neboli „znečitelnění kódu programu“, je ztížit a
zpomalit analýzu spywaru. Kromě toho trojský kůň využívá také zvláštní způsoby
shromažďování informací, například vývojářský režim v prohlížečích k zachycení
provozu chráněného protokolem HTTPS.
Příklad
vlastností naplánované úlohy
Analytici
také objevili vzorek FinFisheru, který nahradil zavaděč UEFI systému Windows –
komponentu, která spouští operační systém po startu firmwaru spolu se škodlivým
kódem. Tento způsob infekce umožnil útočníkům nainstalovat bootkit, aniž by
bylo nutné obcházet bezpečnostní kontroly firmwaru. Infekce UEFI jsou velmi
vzácné a obecně obtížně proveditelné; jejich předností je perzistence a
nesnadná detekce. V tomto případě sice útočníci neinfikovali samotný firmware
UEFI, ale jeho další zaváděcí fázi, útok byl však mimořádně dobře skrytý,
protože škodlivý modul byl nainstalován do samostatného diskového oddílu a mohl
ovládat proces bootování infikovaného počítače.
Zveřejněno: 29. 09. 2021