FinFisher spajver unapređuje svoj arsenal sa četiri nivoa obfuskacije, UEFI infekcijom i drugim

Istraživači kompanije Kaspersky predstavili su opsežnu istragu o svim nedavnim ažuriranjima koja su ubačena u spajver FinSpy za Windows, Mac OS, Linux i njihove instalatere. Istraživanje, koje je trajalo osam meseci, otkriva četvoroslojnu obfuskaciju i napredne mere protiv analize koje su upotrebili programeri spajvera, kao i korišćenje UEFI bootkit-a za inficiranje žrtava. Nalazi ukazuju na to da je stavljen veliki akcenat na izbegavanje odbrane, što FinFisher čini jednim od spajvera koji su najteži za otkrivanje do sada.

FinFisher, takođe poznat i kao FinSpy ili Wingbird, je alat za nadzor, koji kompanija Kaspersky prati od 2011. godine. On može da prikuplja različite kredencijale, liste fajlova i izbrisane fajlove, kao i razna dokumenta, livestreaming ili može da snima podatke i pristupi veb-kameri i mikrofonu. Njegovi Windows implanti su otkriveni i istraživani nekoliko puta do 2018. godine kada je izgledalo kao da je FinFisher spajver nestao.

Nakon toga, rešenja kompanije Kaspersky su detektovala sumnjive instalatere legitimnih aplikacija kao što su TeamViewer, VLC Media Player i WinRAR, koji su sadržali maliciozni kôd koji nije mogao da se dovede u vezu sa bilo kojim poznatim malverom. Sve dok jednog dana nisu otkrili veb-sajt na burmanskom jeziku koji je sadržao inficirane instalatere i uzorke FinFisher spajvera za Android, što im je pomoglo da otkriju da su napadnuti Trojancem sa istim spajverom. Ovo otkriće je podstaklo istraživače kompanije Kaspersky da dodatno istraže FinFisher.

Za razliku od prethodnih verzija spajvera, koje su momentalno podrazumevale postojanje Trojanca u inficiranoj aplikaciji, novi uzorci su bili zaštićeni sa dve komponente: to su neuporni Pre-Validator i Post-Validator. Prva komponenta pokreće više bezbednosnih provera kako bi se osiguralo da uređaj koji inficira ne pripada istraživaču bezbednosti. Tek nakon izvršene provere server otprema Post-Validator komponentu – ova komponenta osigurava da je inficirana targetirana žrtva. Tek tada server pokreće implementaciju celokupne trojanske platforme.

FinFisher je veoma obfuskovan sa četiri složena posebno napravljena obfuskatora. Primarna funkcija ove obfuskacije je usporavanje analize spajvera. Povrh toga, Trojanac takođe koristi interesantne načine prikupljanja informacija. Na primer, koristi programerski mod u pregledačima kako bi presretao saobraćaj zaštićen HTTPS protokolom.

Istraživači su takođe otkrili uzorak FinFisher spajvera koji je zamenio Windows UEFI bootloader – komponentu koja pokreće operativni sistem nakon lansiranja firmvera zajedno sa onim malicioznim. Ovakav način inficiranja omogućio je napadačima da instaliraju bootkit bez potrebe za zaobilaženjem bezbednosnih provera firmvera. UEFI infekcije su vrlo retke i generalno ih je teško izvesti, ističu se mogućnošću prikrivanja i upornošću. Iako u ovom slučaju napadači nisu inficirali sam UEFI firmver, već njegovu sledeću fazu pokretanja, napad je bio izuzetno dobro prikriven s obzirom na to da je maliciozni modul instaliran na zasebnoj particiji i mogao je da kontroliše proces pokretanja inficiranog uređaja.

- Količina rada koja je bila potrebna da bi FinFisher postao nedostupan istraživačima bezbednosti je posebno zabrinjavajuća i pomalo impresivna. Čini se da su programeri uložili barem toliko truda u prikrivanje spajvera i mere protiv analize kao i u samog Trojanca. Kao rezultat, njegove sposobnosti izbegavanja svake detekcije i analize čine ovaj spajver posebno teškim za praćenje i otkrivanje. Činjenica da je ovaj spajver postavljen sa velikom preciznošću i da ga je praktično nemoguće analizirati takođe znači da su njegove žrtve posebno ranjive, a istraživači se suočavaju sa izuzetnim izazovom – s obzirom na to da moraju da ulože ogromnu količinu resursa u raspetljavanje apsolutno svakog uzorka. Verujem da složene pretnje, kao što je FinFisher, pokazuju važnost saradnje i razmene znanja među istraživačima bezbednosti, kao i investiranja u nove vrste bezbednosnih rešenja koja mogu da se bore protiv takvih pretnji - komentariše Igor Kuznecov (Igor Kuznetsov), glavni istraživač bezbednosti u globalnom timu za istraživanje i analizu kompanije Kaspersky (Global Research and Analysis Team - GReAT).

Izveštaj o FinFisher spajveru možete da pročitate u celosti na Securelist.

• Preuzimajte svoje aplikacije i programe sa pouzdanih veb-sajtova.

• Ne zaboravite da redovno ažurirate svoj operativni sistem i sve softvere. Mnogi bezbed-nosni problem mogu da se reše instaliranjem ažuriranih verzija softvera.

• Nemojte uvek verovati priloženim fajlovima u i-mejlovima. Pre nego što ih otvorite ili uđete na link, dobro razmislite: Da li vam je to poslao neko koga znate i kome verujete; da li ste to očekivali; da li je pouzdano? Pređite kursorom preko linkova i priloženih fajlova da biste videli kako se zovu ili gde zaista vode.

• Izbegavajte instaliranje softvera iz nepoznatih izvora. Oni mogu i jako često sadrže mali-ciozne fajlove.

• Koristite jako bezbednosno rešenje na svim računarima i mobilnim uređajima, kao što su Kaspersky Internet Security for Android ili Kaspersky Total Security.

• Uspostavite politiku za nekorporativno korišćenje softvera. Uputite svoje zaposlene u rizike vezane za preuzimanje neautorizovanih aplikacija sa nepouzdanih izvora.

• Svojim zaposlenima obezbedite obuku o osnovama sajber bezbednosti, s obzirom na to da mnogi targetirani napadi otpočinju sa fišingom ili ostalim tehnikama socijalnog inženje-ringa.

• Instalirajte anti-APT ili EDR rešenja, što će omogućiti otkrivanje pretnji, detekciju, istraživanje i blagovremeno saniranje incidenata. Svom SOC timu obezbedite pristup najnovijim informacijama o pretnjama i redovno ih obučavajte kroz profesionalne kur-seve. Sve gore navedeno je dostupno unutar Kaspersky Expert Security okvira.

• Uporedo sa adekvatnom zaštitom krajnjih tačaka, namenski servisi mogu da budu od pomoći protiv visokoprofilnih napada. Kaspersky Managed Detection and Response servis može da pomogne u identifikaciji i zaustavljanju napada u njihovoj ranoj fazi, pre nego što napadači postignu svoj cilj.