Špionážny softvér FinFisher vylepšuje svoj arzenál

Zistenia naznačujú, že je kladený veľký dôraz na obchádzanie obranných mechanizmov, čím sa FinFisher stáva momentálne jedným z najťažšie odhaliteľných spyvérov.

FinFisher, známy aj pod názvami FinSpy či Wingbird, je sledovací nástroj, ktorý spoločnosť Kaspersky monitoruje už od roku 2011. Dokáže zhromažďovať rôzne prihlasovacie údaje, zoznamy súborov či odstránené súbory, takisto aj rôzne dokumenty či dáta týkajúce sa živého streamovania alebo nahrávok a dokáže tiež získať prístup k webovej kamere a mikrofónu. Jeho vzorky identifikované v operačnom systéme Windows boli do roku 2018 odhalené a skúmané niekoľkokrát, následne sa zdalo, že sa FinFisher prestal realizovať.

Avšak spoločnosť Kaspersky neskôr odhalila podozrivé inštalátory legitímnych aplikácií, ako sú TeamViewer, VLC Media Player a WinRAR, ktoré obsahovali škodlivý kód a ktorý nebolo možné spojiť so žiadnym známym malvérom. Teda až kým jedného dňa neobjavili webovú stránku v barmčine, ktorá obsahovala infikované inštalačné programy a vzorky spyvéru FinFisher pre Android, čo pomohlo identifikovať, že sú napadnuté rovnakým spyvérom. Tento objav podnietil expertov spoločnosti Kaspersky k jeho ďalšej analýze.

Na rozdiel od predchádzajúcich verzií spyvéru, ktoré obsahovali trójskeho koňa hneď v infikovanej aplikácii, boli nové vzorky chránené dvomi zložkami. Prvá vykonávala viaceré bezpečnostné kontroly, aby sa uistila, že infikované zariadenie nepatrí bezpečnostnému profesionálovi. Keď tieto kontroly prebehli úspešne, server poskytol povalidačný komponent, ktorý zabezpečil, že infikovaná obeť je tá, ktorú mali na muške. Až vtedy dal server príkaz na nasadenie plnohodnotnej platformy tohto trójskeho koňa.

„Množstvo práce vynaloženej na to, aby nebol FinFisher prístupný bezpečnostným profesionálom, je mimoriadne znepokojujúce a do istej miery aj obdivuhodné. Zdá sa, že jeho vývojári vložili do maskovacích a protianalytických opatrení minimálne toľko práce ako do samotného trójskeho koňa. Výsledkom je, že vďaka jeho schopnosti vyhnúť sa akejkoľvek detekcii a analýze je tento spyvér mimoriadne náročné sledovať a odhaliť. Skutočnosť, že tento spyvér je nasadený s tak vysokou presnosťou a je prakticky nemožné ho analyzovať, tiež znamená, že jeho obete sú obzvlášť zraniteľné a bezpečnostní experti tak čelia mimoriadnej výzve, pričom do odhalenia a analýzy každej jednej vzorky musia investovať nemalé množstvo prostriedkov. Som presvedčený, že komplexné hrozby ako napríklad FinFisher poukazujú na dôležitosť spolupráce bezpečnostných expertov a vzájomnej výmeny poznatkov, ako aj investícií do nových typov bezpečnostných riešení, ktoré dokážu bojovať proti takýmto hrozbám,“ komentuje Miroslav Kořen, generálny riaditeľ Kaspersky pre východnú Európu.

Na ochranu pred hrozbami ako napríklad FinFisher spoločnosť Kaspersky používateľom odporúča:

• Sťahovať aplikácie a programy iba z dôveryhodných webových stránok.

• Nezabudnúť pravidelne aktualizovať operačný systém a všetok softvér. Mnohé bezpečnostné problémy sa dajú vyriešiť inštaláciou aktualizovaných verzií softvéru.

• Vo všeobecnosti nedôverovať prílohám a linkom v e-mailoch. Pred kliknutím na prílohu alebo na odkaz starostlivo zvážiť, či je od niekoho, koho poznáte a komu dôverujete, či ju očakávate a pod. Ak sa nastavíte kurzorom myši na odkaz alebo prílohu, zistíte tak, ako sa volajú alebo kam skutočne smerujú.

• Vyhnúť sa inštalácii softvéru z neznámych zdrojov. Môže obsahovať a často aj obsahuje škodlivé súbory.

• Používať silné bezpečnostné riešenie na všetkých počítačoch a mobilných zariadeniach, napríklad Kaspersky Internet Security pre Android alebo Kaspersky Total Security.

Na ochranu firiem a organizácií spoločnosť Kaspersky odporúča:

• Nastaviť zásady pre používanie iného ako firemného softvéru. Poučte zamestnancov o rizikách sťahovania neautorizovaných aplikácií z nedôveryhodných zdrojov.

• Poskytnúť svojim zamestnancom školenie zamerané na kybernetickú bezpečnosť, pretože mnohé cielené útoky začínajú phishingom alebo inými technikami sociálneho inžinierstva.

• Nainštalovať riešenia anti-APT a EDR, ktoré umožňujú detekciu hrozieb, jej prešetrenie a včasnú nápravu incidentov. Zabezpečte svojmu SOC tímu prístup k najnovším informáciám o hrozbách a pravidelne zvyšujte jeho kvalifikáciu prostredníctvom odborných školení. Všetky uvedené možnosti sú k dispozícii v rámci ponuky Kaspersky Expert Security.

• Spolu so správnou ochranou koncových bodov môžu špecializované služby pomôcť proti vysokoprofilovým útokom. Služba Kaspersky Managed Detection and Response dokáže pomôcť identifikovať a zastaviť útoky v ich počiatočných štádiách, ešte predtým, než útočníci dosiahnu svoj cieľ.

Celá správa venovaná špionážnemu softvéru FinFisher je dostupná na stránke Securelist.

(Zdroj: Tlačová správa Kaspersky)