ESET ha identificato alcune campagne di sorveglianza che utilizzano una nuova variante di FinFisher, il noto spyware conosciuto anche come FinSpy.
Lo spyware FinFisher, noto anche come FinSpy, è stato acquistato dalle agenzie governative in tutto in mondo e utilizzato anche da regimi oppressivi. I ricercatori di ESET hanno ora individuato una nuova ondata di attività delle spyware, in cui sono interessati sette paesi (per ora anonimi). In due di questi molto probabilmente lo spyware si è diffuso attraverso un attacco Man In The Middle attraverso alcuni importanti Internet Provider.
FinFisher ha molteplici funzionalità di spionaggio, come la sorveglianza attraverso webcam e microfoni, il keylogging e l’estrazione di file. Nell’ultima versione sono stati introdotti alcuni miglioramenti tecnici, finalizzati ad aumentare le sue capacità di spionaggio. Lo spyware usa un sistema di virtualizzazione del codice personalizzato per proteggere la maggior parte dei suoi componenti, incluso il driver in modalità kernel. Inoltre, l’intero codice è pieno di “trucchi” anti disassemblaggio per superare il primo livello di protezione.
L’innovazione più importante è il modo in cui lo spyware viene distribuito sui computer delle vittime. Quando l’utente sta per scaricare delle applicazioni note, come WhatsApp, Skype o VLC Player, viene dirottato verso il server dell’attaccante, scaricando un pacchetto di installazione infetto. Dopo che l’utente clicca sul link per il download, il browser viene dirottato verso un pacchetto di installazione infetto ospitato sul server dell’attaccante che, dopo essere stato scaricato ed eseguito, non solo installa l’applicazione legittima ma anche lo spyware. Il collegamento dannoso viene inserito nel browser dell’utente tramite un codice di risposta HTTP 307 che indica un indirizzamento temporaneo in cui il contenuto richiesto è stato spostato in un nuovo URL.
L’ipotesi che talvolta FinFisher vega diffuso attraverso un attacco Man In The Middle è supportata da numerosi fatti. In primo luogo, secondo materiali interni pubblicati da WikiLeaks, il produttore di FinFisher ha offerto una soluzione denominata “FinFly ISP” da distribuire su reti ISP con funzionalità corrispondenti a quelle necessarie per eseguire questo tipo di attacco. Inoltre, la tecnica dell’infezione (che usa il reindirizzamento HTTP 307) viene implementata allo stesso modo in entrambi i paesi colpiti e tutti gli obiettivi interessati all’interno di un paese stanno utilizzando lo stesso ISP. Infine, lo stesso metodo e il formato di reindirizzamento sono stati utilizzati per il filtro di contenuti Web da parte degli Internet Provider in almeno uno dei paesi interessati dall’attacco. L’utilizzo di attacchi MitM a livello ISP non era mai stato rivelato – almeno fino ad ora. Se confermato, queste campagne FinFisher rappresenterebbero un sofisticato progetto di sorveglianza senza precedenti per combinazione di metodi e di portata.
