29 września 2021

Spyware FinFisher wraca z rozbudowanym arsenałem

Badacze z firmy Kaspersky opublikowali wyniki szczegółowego badania dotyczącego wszystkich nowości, o jakie wzbogacone zostało niedawno oprogramowanie spyware FinSpy dla systemu Windows, macOS oraz Linux. Prowadzona przez osiem miesięcy analiza ujawniła stosowane przez twórców tego szkodnika zaawansowane metody zaciemniania kodu oraz inne mechanizmy przeciwdziałania analizie, jak również użycie modułu infekującego UEFI w maszynach ofiar. Wyniki badania sugerują duży nacisk na obchodzenie mechanizmów ochrony przez szkodnika, które sprawia, że FinFisher to jak dotąd jedno z najtrudniejszych do wykrycia narzędzi spyware.


FinFisher, znany również jako FinSpy lub Wingbird, to narzędzie do monitoringu, które firma Kaspersky obserwuje od 2011 r. Potrafi gromadzić różne dane uwierzytelniające, wykazy plików oraz różne dokumenty, a ponadto przesyłać strumieniowo lub rejestrować dane oraz uzyskiwać dostęp do kamery internetowej i mikrofonu. Jego implanty dla systemu Windows były wielokrotnie badane do 2018 r., gdy wydawało się, że FinFisher zniknął ze sceny.

Później jednak rozwiązania firmy Kaspersky wykryły podejrzane instalatory legalnych aplikacji, takich jak TeamViewer, VLC Media Player oraz WinRAR, zawierające niebezpieczny kod, którego nie dało się powiązać z żadnym znanym szkodliwym oprogramowaniem. Tak było do czasu wykrycia strony internetowej w języku birmańskim zawierającej zainfekowane instalatory oraz próbki FinFishera dla systemu Android. Odkrycie to skłoniło badaczy z firmy Kaspersky do kontynuowania badań.

W przeciwieństwie do wcześniejszych wersji szkodnika, które od razu zawierały trojana w zainfekowanej aplikacji, nowe próbki są chronione przez dwa komponenty. Pierwszy przeprowadza kilka testów bezpieczeństwa, aby sprawdzić, czy infekowane urządzenie nie należy do badacza bezpieczeństwa. Jeśli tak nie jest, serwer dostarcza drugi komponent, który ma potwierdzić, że infekowana ofiara jest zamierzonym celem. Dopiero wtedy serwer wydaje polecenie zainstalowania pełnoprawnego trojana.

FinFisher został poddany zaciemnianiu przy pomocy czterech złożonych, niestandardowych narzędzi. Głównym celem tego procesu jest spowolnienie analizy. Ponadto trojan stosuje nietypowe sposoby gromadzenia informacji. Na przykład wykorzystuje tryb programisty w przeglądarkach w celu przechwytywania ruchu chronionego przy użyciu protokołu HTTPS.

Badacze wykryli również próbkę szkodnika FinFisher, która zastępowała menedżera rozruchu Windows UEFI - komponent, który uruchamia system operacyjny po starcie oprogramowania układowego wraz ze szkodnikiem. W ten sposób atakujący mogą zainstalować szkodliwy kod bez konieczności obchodzenia zabezpieczeń oprogramowania układowego. Infekcje UEFI są niezwykle rzadkie i ogólnie trudne do przeprowadzenia. Wyróżniają się tym, że umożliwiają długotrwałe utrzymywanie się szkodnika w systemie. Chociaż w omawianym przypadku cyberprzestępcy nie infekują samego oprogramowania układowego UEFI, a jedynie etap rozruchu, atak ten cechował się wyjątkową ukradkowością, ponieważ szkodliwy moduł został zainstalowany na oddzielnej partycji i mógł kontrolować proces uruchamiania zainfekowanego urządzenia.

Ogrom pracy włożonej w to, aby szkodnik FinFisher nie został wykryty i przeanalizowany przez badaczy bezpieczeństwa, jest z jednej strony niepokojący, z drugiej natomiast imponujący. Wydaje się, że w zaciemnianie oraz mechanizmy uniemożliwiające analizę włożono przynajmniej tyle samo pracy, co w samego trojana. W efekcie, dzięki swoim zdolnościom unikania wykrycia oraz analizy, FinFisher jest szczególnie trudny do wyśledzenia. Ponadto niezwykła precyzja, z jaką stosowany jest ten spyware, oznacza, że jego ofiary są szczególnie bezbronne, a badacze stoją przed specjalnym wyzwaniem - koniecznością zainwestowania ogromnej ilości zasobów w rozwikłanie każdej pojedynczej próbki. Złożone zagrożenia takie jak FinFisher pokazują, jak ważna jest współpraca oraz wymiana wiedzy między badaczami bezpieczeństwa, a także inwestowanie w nowe rodzaje rozwiązań bezpieczeństwa, które potrafią zwalczać takie szkodliwe narzędzia - powiedział Igor Kuzniecow, ekspert z Globalnego Zespołu ds. Badań i Analiz (GReAT) firmy Kaspersky.

Szczegóły techniczne dotyczące trojana FinFisher są dostępne na stronie https://r.kaspersky.pl/elfFI.

Ogólne porady bezpieczeństwa

Specjaliści z firmy Kaspersky zalecają następujące działania pozwalające zabezpieczyć się przed skomplikowanymi zagrożeniami, takimi jak FinFisher:
  • Pobieraj aplikacje i programy z zaufanych stron internetowych.
  • Nie zapominaj o regularnym aktualizowaniu systemu operacyjnego oraz oprogramowania. Wiele problemów dotyczących bezpieczeństwa można rozwiązać poprzez niezwłoczną instalację aktualizacji.
  • Nie ufaj załącznikom do wiadomości e-mail. Zanim otworzysz jakikolwiek lub klikniesz zawarty w nim odsyłacz, zadaj sobie kilka pytań: Czy pochodzi od osoby, którą znam i której ufam? Czy spodziewałem się go? Czy jest nieszkodliwy? Najedź kursorem na odsyłacze i załączniki, aby zobaczyć, jakie są ich rzeczywiste nazwy i dokąd prowadzą.
  • Nie instaluj oprogramowania z nieznanych źródeł. Może ono zawierać szkodliwe elementy.
  • Na wszystkich komputerach oraz urządzeniach przenośnych stosuj skuteczne rozwiązanie bezpieczeństwa, takie jak Kaspersky Internet Security for Android czy Kaspersky Total Security.

Porady bezpieczeństwa dla firm:

  • Ustanów zasady korzystania z oprogramowania innego niż firmowe. Edukuj pracowników na temat zagrożeń związanych z pobieraniem niedozwolonych aplikacji z niezaufanych źródeł.
  • Zorganizuj dla personelu podstawowe szkolenie w zakresie higieny cyberbezpieczeństwa, ponieważ wiele ataków ukierunkowanych rozpoczyna się od phishingu lub innych rodzajów socjotechniki.
  • Zainstaluj rozwiązania EDR oraz służące do ochrony przed atakami APT, które umożliwiają wykrywanie zagrożeń, badanie ich oraz łagodzenie skutków incydentów.
  • Zapewnij swojemu zespołowi z centrum operacji bezpieczeństwa dostęp do najnowszej analizy zagrożeń oraz możliwość regularnego podnoszenia kwalifikacji poprzez szkolenia.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.

Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.