Οι ερευνητές της Kaspersky παρουσίασαν μια ολοκληρωμένη έρευνα για όλες τις πρόσφατες ενημερώσεις του spyware FinSpy για Windows, Mac OS, Linux και τα installers τους. Η έρευνα, η οποία χρειάστηκε οκτώ μήνες για να ολοκληρωθεί, αποκαλύπτει τα προηγμένα μέτρα anti-analysis, τη συσκότιση κώδικα (Code Obfuscation) τεσσάρων επιπέδων, καθώς και τη χρήση ενός UEFI bootkit που χρησιμοποιήθηκαν από τους προγραμματιστές του spyware για τη μόλυνση των θυμάτων. Τα ευρήματα αναδεικνύουν τη σημασία λήψης επαρκών μέτρων προστασίας, καθώς από τα αποτελέσματα προκύπτει πως το FinFisher αποτελεί ένα από τα δυσκολότερα ανιχνεύσιμα spyware μέχρι σήμερα.
Το FinFisher, γνωστό και ως FinSpy ή Wingbird, είναι ένα εργαλείο παρακολούθησης, του οποίου η δράση έχει καταγραφεί από την Kaspersky από το 2011. Είναι σε θέση να συλλέγει διάφορα διαπιστευτήρια, λίστες αρχείων και διαγραμμένα αρχεία, καθώς και διάφορα έγγραφα, ζωντανή μετάδοση ή εγγραφή δεδομένων και να αποκτήσει πρόσβαση στην κάμερα ή το μικρόφωνο ενός υπολογιστή. Τα εμφυτεύματά του στα Windows εντοπίστηκαν και ερευνήθηκαν αρκετές φορές μέχρι το 2018, όταν το FinFisher φάνηκε να διαφεύγει του ελέγχου.
Μετά από αυτό, οι λύσεις της Kaspersky εντόπισαν ύποπτα installers νόμιμων εφαρμογών όπως το TeamViewer, το VLC Media Player και το WinRAR, τα οποία περιείχαν κακόβουλο κώδικα που δεν μπορούσε να συνδεθεί με κανένα γνωστό κακόβουλο λογισμικό. Μέχρι που μια μέρα ανακάλυψαν έναν ιστότοπο στη Βιρμανία που περιείχε τα μολυσμένα installers και δείγματα του FinFisher για Android, διαπιστώνοντας ότι και τα δύο ήταν Trojanized με το ίδιο spyware. Αυτή η ανακάλυψη ώθησε τους ερευνητές της Kaspersky να ερευνήσουν περαιτέρω το FinFisher.
Σε αντίθεση με προηγούμενες εκδοχές του spyware, που μετέφεραν το Trojan στη μολυσμένη εφαρμογή αμέσως, τα νέα δείγματα προστατεύονταν από δύο στοιχεία: το non-persistent pre-validator και το post-validator. Το πρώτο στοιχείο εκτελεί πολλαπλούς ελέγχους ασφαλείας για να διασφαλιστεί ότι η συσκευή που μολύνει δεν ανήκει σε κάποιον ερευνητή ασφάλειας. Μόνο όταν οι έλεγχοι περάσουν, το post-Validator στοιχείο παρέχεται από τον διακομιστή, αυτό το στοιχείο διασφαλίζει ότι το μολυσμένο θύμα είναι το επιδιωκόμενο. Μόνο τότε ο server θα έστελνε εντολή να αναπτυχθεί η πλήρης πλατφόρμα trojan.
Το FinFisher καταφέρνει να καλύψει τη δράση του με τέσσερις πολύπλοκους obfuscators. Η κύρια λειτουργία της συσκότισης είναι η επιβράδυνση της ανάλυσης του spyware. Επιπλέον, το Trojan χρησιμοποιεί επίσης ιδιότυπους τρόπους συλλογής πληροφοριών. Για παράδειγμα, χρησιμοποιεί τη λειτουργία προγραμματιστών στα προγράμματα περιήγησης για να παρεμποδίσει την κίνηση που προστατεύεται με πρωτόκολλο HTTPS.
Οι ερευνητές ανακάλυψαν επίσης ένα δείγμα του FinFisher που αντικατέστησε το πρόγραμμα εκκίνησης Windows UEFI – ένα στοιχείο που εκκινεί το λειτουργικό σύστημα μετά την εκκίνηση του υλικολογισμικού ταυτόχρονα με ένα κακόβουλο. Αυτός ο τρόπος μόλυνσης επέτρεψε στους επιτιθέμενους να εγκαταστήσουν ένα bootkit χωρίς να χρειάζεται να παρακάμψουν τους ελέγχους ασφαλείας του υλικολογισμικού. Οι μολύνσεις του UEFI είναι πολύ σπάνιες και γενικά δύσκολο να αποτραπούν, καθώς ξεχωρίζουν τόσο λόγω της δυνατότητας αποφυγής που διαθέτουν όσο και λόγω της επιμονής τους. Ενώ σε αυτήν την περίπτωση οι επιτιθέμενοι δεν μόλυναν το ίδιο το υλικολογισμικό UEFI αλλά το επόμενο στάδιο εκκίνησης, η επίθεση ήταν ιδιαίτερα ύπουλη καθώς η κακόβουλη μονάδα εγκαταστάθηκε σε ξεχωριστό partition και ήταν σε θέση να ελέγξει τη διαδικασία εκκίνησης του μολυσμένου μηχανήματος.
«Το έργο που καταβάλλεται για να καταστεί το FinFisher μη προσβάσιμο στους ερευνητές ασφαλείας είναι ιδιαίτερα ανησυχητικό και ταυτόχρονα εντυπωσιακό. Φαίνεται ότι οι προγραμματιστές τουλάχιστον κατέβαλλαν τόση προσπάθεια για να δημιουργήσουν προωθημένα μέσα συσκότισης κώδικα και anti-analysis, όσο και για το Trojan το ίδιο. Ως αποτέλεσμα, οι δυνατότητές του να αποφεύγει κάθε ανίχνευση και ανάλυση καθιστούν αυτό το spyware ιδιαίτερα δύσκολο να εντοπιστεί και ανιχνευθεί. Το γεγονός ότι αυτό το spyware αναπτύσσεται με μεγάλη ακρίβεια και είναι πρακτικά αδύνατο να αναλυθεί σημαίνει επίσης ότι τα θύματά του είναι ιδιαίτερα ευάλωτα και οι ερευνητές αντιμετωπίζουν μια ειδική πρόκληση – πρέπει να επενδύσουν μια εξαιρετικά μεγάλη ποσότητα πόρων προκειμένου να εξαρθρώσουν κάθε στοιχείο του. Πιστεύω ότι σύνθετες απειλές όπως το FinFisher καταδεικνύουν τη σημασία που έχει οι ερευνητές ασφάλειας να συνεργάζονται και να ανταλλάσσουν γνώσεις μεταξύ τους, καθώς και να επενδύουν σε νέους τύπους λύσεων ασφάλειας που έχουν τη δυνατότητα να καταπολεμήσουν τέτοιες απειλές», σχολιάζει ο Igor Kuznetsov, κύριος ερευνητής ασφαλείας στην Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky (GReAT).
Για να προστατευτείτε από απειλές όπως το FinFisher, η Kaspersky συνιστά:
- Κατεβάστε τις εφαρμογές και τα προγράμματά σας από αξιόπιστους ιστότοπους.
- Μην ξεχνάτε να ενημερώνετε τακτικά το λειτουργικό σας σύστημα και όλο το λογισμικό. Πολλά ζητήματα ασφάλειας μπορούν να επιλυθούν με την εγκατάσταση ενημερωμένων εκδόσεων λογισμικού.
- Προεπιλέξτε “dirtrust” των συνημμένων στα e-mail. Πριν κάνετε κλικ για να ανοίξετε ένα συνημμένο ή να ακολουθήσετε έναν σύνδεσμο, σκεφτείτε προσεκτικά: Είναι από κάποιον που γνωρίζετε και εμπιστεύεστε; Είναι αναμενόμενο; Είναι καθαρό; Τοποθετήστε τον δείκτη του ποντικιού πάνω από συνδέσμους και συνημμένα για να δείτε πώς ονομάζονται ή πού οδηγούν πραγματικά.
- Αποφύγετε την εγκατάσταση λογισμικού από άγνωστες πηγές. Υπάρχει περίπτωση, η οποία συχνά επιβεβαιώνεται, να περιέχει κακόβουλα αρχεία.
- Χρησιμοποιήστε μια ισχυρή λύση ασφαλείας σε όλους τους υπολογιστές και τις φορητές συσκευές σας.
Για την προστασία των οργανισμών, η Kaspersky προτείνει τα εξής:
- Ορίστε συγκεκριμένη πολιτική για τη χρήση μη εταιρικού λογισμικού. Ενημερώστε τους υπαλλήλους σας για τους κινδύνους λήψης μη εξουσιοδοτημένων εφαρμογών από μη αξιόπιστες πηγές.
- Παρέχετε στο προσωπικό σας βασική εκπαίδευση κυβερνοασφάλειας, καθώς πολλές στοχευμένες επιθέσεις ξεκινούν με phising ή άλλες τεχνικές social engineering.
- Εγκαταστήστε λύσεις anti-APT και EDR, επιτρέποντας την ανακάλυψη και τον εντοπισμό απειλών, τη διερεύνηση και την έγκαιρη αποκατάσταση των incidents capabilities. Παρέχετε στην ομάδα SOC σας πρόσβαση στις πιο πρόσφατα ενημερωμένες λύσεις αντιμετώπισης ψηφιακών απειλών και προγραμματίστε τακτική ανανέωση των δεξιοτήτων τους.
- Μαζί με την κατάλληλη endpoint προστασία, οι εξειδικευμένες υπηρεσίες μπορούν να βοηθήσουν ενάντια σε high-profile επιθέσεις.