Контакты
Подписка
МЕНЮ
Контакты
Подписка

Число использующих шпионское ПО FinFisher правительств значительно возросло

Число использующих шпионское ПО FinFisher правительств значительно возросло

Число использующих шпионское ПО FinFisher правительств значительно возросло


21.10.2015



 

 Согласно исследованию экспертов из Citizen Lab, число правительственных структур, использующих шпионское ПО FinFisher, значительно возросло за последнее время. Специалисты из Citizen Lab в течение нескольких лет мониторили использование таких средств наблюдения, как FinFisher в странах с тоталитарным режимом правления. Стоит отметить, что FinFisher является эксклюзивной шпионской программой, которая продается исключительно государственным учреждениям и правоохранительным органам.

 Исследователи отслеживали физическое расположение серверов, подконтрольных немецкой структуре FinFisher GmbH, которая направлена на выслеживание операций и личностей злоумышленников. FinFisher способно удаленно управлять любым компьютером, которое ПО инфицировало, копировать файлы, перехватывать звонки в Skype, записывать каждое нажатие клавиш и пр.

 FinFisher использует для работы главный сервер под названием FinSpy Master и многочисленные промежуточные серверы FinSpy Relay, которые выступают в роли C&C-серверов. Как только устройство инфицировано FinFisher, шпионская программа связывается с промежуточными серверами, которые в свою очередь передают информацию на главный сервер. Эксперты из Citizen Lab использовали инструмент Zmap, который помог обнаружить 135 серверов, в том числе главных и промежуточных. Как правило, главные серверы расположены у пользователей шпионского ПО, в то время как прокси-серверы могут находиться где угодно.

 Самым интересным является тот факт, что именно промежуточные серверы, предназначенные для сокрытия главного сервера, помогли экспертам обнаружить расположения FinSpy Master. Если кто-то пытается подключиться к IP-адресу FinSpy Relay, ему отображается поддельная страница Google.com и Yahoo.com. Исследователи обнаружили, что, если ложная Google.com выполняет запрос "my ip address", поисковая система будет отображать реальный IP-адрес FinSpy Master.

 В случае с Yahoo.com, эксперты использовали другой способ для обнаружения местоположения главного сервера. Исходный код web-страницы уже содержал в себе данные о расположении FinSpy Master, так как Yahoo использует эти данные для отображения погоды и новостей на главной странице. Таким образом эксперты выяснили, что шпионское ПО FinFisher используется государственными структурами в 32 странах по всему миру, в том числе в Анголе, Египте, Иордании, Казахстане, Кении, Ливане, Марокко, Парагвае, Саудовской Аравии, Словении, Испании, Тайване, Турции и Венесуэле. В некоторых случаях исследователям даже удалось проследить IP-адрес конкретных государственных учреждений.

Источник:
Securitylab.ru