A Kaspersky kutatói átfogó vizsgálatot végeztek a FinSpy kémprogram Windowsos, Mac OS és Linuxos változatai, valamint telepítőprogramjai legújabb frissítéseit érintően. A nyolc hónapon át zajló kutatás rávilágított, hogy a kémprogram fejlesztői négyrétegű obfuszkációt és fejlett anti-analízis eljárásokat használtak, továbbá UEFI bootkit alkalmazásával fertőzték meg az áldozatokat. A megállapításokból az derül ki, hogy a fejlesztők nagy hangsúlyt helyeznek a védelem megkerülésére, ezért a FinFisher az egyik legnehezebben detektálható kémprogram.
A FinFisher (más néven FinSpy vagy Wingbird) egy felügyeleti eszköz, amelyet a Kaspersky már 2011 óta figyel. A program képes a különféle hitelesítési adatok, fájllisták és törölt fájlok, valamint különféle dokumentumok, élő streamek vagy felvételek adatainak begyűjtésére, és hozzá tud férni a webkamerához és a mikrofonhoz. A Windowsba beépülő elemeit többször is észlelték és kutatták egészen 2018-ig, amikor is a FinFisher eltűnni látszott a radarról.
Ezt követően a Kaspersky megoldásai gyanús telepítőprogramokat találtak, amelyek legális alkalmazások - pl. a TeamViewer, a VLC Media Player és a WinRAR - telepítői voltak, és olyan rosszindulatú kódot tartalmaztak, amely semmilyen ismert malware-hez nem volt köthető. Aztán egy napon találtak egy burmai nyelvű weboldalt, ahol fenn voltak a fertőzött telepítőprogramok és a FinFisher Androidos változatának példányai, így sikerült megállapítani, hogy mindegyiket ugyanaz a kémprogram fertőzte meg trójai vírussal. Ez a felfedezés a FinFisher további vizsgálatára ösztönözte a Kaspersky kutatóit.
A kémprogram korábbi verzióival ellentétben, ahol a trójai vírust közvetlenül a fertőzött alkalmazás tartalmazta, az új példányokat két komponens védte: egy nem állandó elővalidátor és egy utóvalidátor. Az első komponens több biztonsági ellenőrzést futtat, hogy megbizonyosodjon arról, hogy a megfertőzendő eszköz nem egy biztonsági kutatóé-e. Az utóvalidátor komponenst csak akkor indítja el a szerver, ha ez az ellenőrzés sikeres. Ez a komponens azt biztosítja, hogy valóban a megfertőzni szándékozott áldozatot fertőzzék meg. A szerver csak ezt követően ad parancsot a teljes trójai platform telepítésére.
A FinFisher erősen obfuszkált: négy komplex egyedi obfuszkátort tartalmaz. Az obfuszkáció elsődleges funkciója a kémprogram elemzésének lelassítása. Mindezek tetejében a trójai program sajátos módszerek alkalmazásával gyűjt információkat. Fejlesztői módot használ például a böngészőben, és így fogja el a HTTPS protokollal védett forgalmat.
Így néznek ki az ütemezett feladatok tulajdonságai
A kutatók felfedezték a FinFisher olyan példányát is, amelyik a Windows UEFI bootloadert (rendszerbetöltő programot) cseréli ki - ez a komponens indítja el az operációs rendszert a firmware elindulása után egy rosszindulatúval együtt. Ez a fertőzési módszer lehetővé tette, hogy a támadók a firmware biztonsági ellenőrzéseinek megkerülése nélkül telepítsenek fel egy bootkitet. Az UEFI-fertőzések nagyon ritkák és általában nehezen kivitelezhetőek, evazív és perzisztens jellegükkel tűnnek ki a többi közül. Bár ebben az esetben a támadók nem magát az UEFI firmware-t, hanem a következő bootolási szakaszt fertőzték meg, a támadás mégis különösen ravasz volt, mivel a rosszindulatú modult egy külön partícióra telepítették, így kontrollálni tudta a fertőzött gép bootolási folyamatát.
"Különösen aggasztó, ugyanakkor bizonyos fokig impresszív is, mennyi energiát fordítottak arra, hogy a FinFisher ne legyen hozzáférhető a biztonsági kutatók számára. Úgy tűnik, hogy a fejlesztők legalább annyi munkát fektettek az obfuszkációba és az anti-analízis eljárásokba, mint magába a trójai vírusba. Ennélfogva ezt a kémprogramot az észlelést és az elemzést kikerülni tudó képessége miatt különösen nehéz nyomon követni és észlelni. Nagyfokú precizitással telepítik és gyakorlatilag lehetetlen elemezni, ami egyben azt is jelenti, hogy az áldozatai különösen sérülékenyek, a kutatók pedig speciális kihívással állnak szemben, ugyanis hatalmas mennyiségű erőforrás kell ahhoz, hogy minden egyes példányt kibogozzanak. Szerintem a FinFisherhez hasonlóan komplex fenyegetések jól mutatják, milyen fontos a biztonsági kutatók közötti együttműködés és tudáscsere, valamint a hasonló fenyegetések leküzdését szolgáló új típusú biztonsági megoldásokba való beruházás" - fejtette ki Igor Kuznyecov, a Kaspersky globális kutató és elemző csapatának vezető biztonsági kutatója.
A FinFisherrel foglalkozó teljes jelentés a Securelist oldalon olvasható.
A Kaspersky a következőket javasolja a FinFisherhez hasonló fenyegetések elleni védekezéshez:
- Csak megbízható weboldalakról töltsön le alkalmazásokat és programokat.
- Ne felejtse el rendszeresen frissíteni az operációs rendszerét és minden szoftverét. A frissített szoftververziók telepítésével számos biztonsági probléma megoldható.
- Alapból ne bízzon meg az e-mailben kapott csatolmányokban. Mielőtt rákattint egy csatolmányra a megnyitáshoz, vagy mielőtt rákattint egy linkre, alaposan gondolja végig, hogy olyan valakitől érkezett, akit ismer és akiben megbízik, várta-e, tiszta-e? Vigye az egérmutatót a link vagy a csatolmány fölé, és nézze meg, mi a neve, vagy hogy hova visz valójában.
- Ne telepítsen ismeretlen forrásból származó szoftvereket, ugyanis tartalmazhatnak, és sokszor tartalmaznak is rosszindulatú fájlokat.
- Minden számítógépén és mobil eszközén használjon erős biztonsági megoldást, például a következőket: Kaspersky Internet Security for Android vagy Kaspersky Total Security.
A szervezetek védelméhez a következőket javasolja a Kaspersky:
- Készítsenek szabályzatot a nem vállalati szoftverek használatára vonatkozóan. Világosítsák fel az alkalmazottakat arról, hogy milyen kockázatokkal jár a nem engedélyezett alkalmazások nem megbízható forrásokból való letöltése.
- Részesítsék a munkavállalókat kiberbiztonsági alapismeretekkel foglalkozó képzésben, hiszen számos célzott támadás indul adathalászattal vagy más pszichológiai manipulációs technikákkal.
- Telepítsenek APT elleni és EDR megoldásokat, amelyek lehetővé teszik a fenyegetések felfedezését és észlelését, valamint az incidensek kivizsgálását és időben történő orvoslását. A biztonsági operációs központok (SOC) csapatainak adjanak hozzáférést a legújabb fenyegetéselemzési adatokhoz, és rendszeresen biztosítsanak számukra szakmai továbbképzést. A fentiek mindegyike elérhető a Kaspersky Expert Security keretrendszerében.
- A megfelelő végpontvédelem mellett speciális szolgáltatások is segítséget nyújthatnak a nagy horderejű támadások kivédésében. A Kaspersky Managed Detection and Response szolgáltatása már a korai szakaszban felismeri és megállítja a támadásokat, még mielőtt a támadók elérhetnék a céljaikat.