Согласно исследованию экспертов из Citizen Lab, число правительственных структур, использующих шпионское ПО FinFisher, значительно возросло за последнее время. Специалисты из Citizen Lab в течение нескольких лет мониторили использование таких средств наблюдения, как FinFisher в странах с тоталитарным режимом правления. Стоит отметить, что FinFisher является эксклюзивной шпионской программой, которая продается исключительно государственным учреждениям и правоохранительным органам. Исследователи отслеживали физическое расположение серверов, подконтрольных немецкой структуре FinFisher GmbH, которая направлена на выслеживание операций и личностей злоумышленников. FinFisher способно удаленно управлять любым компьютером, которое ПО инфицировало, копировать файлы, перехватывать звонки в Skype, записывать каждое нажатие клавиш и пр. FinFisher использует для работы главный сервер под названием FinSpy Master и многочисленные промежуточные серверы FinSpy Relay, которые выступают в роли C&C-серверов. Как только устройство инфицировано FinFisher, шпионская программа связывается с промежуточными серверами, которые в свою очередь передают информацию на главный сервер. Эксперты из Citizen Lab использовали инструмент Zmap, который помог обнаружить 135 серверов, в том числе главных и промежуточных. Как правило, главные серверы расположены у пользователей шпионского ПО, в то время как прокси-серверы могут находиться где угодно. Самым интересным является тот факт, что именно промежуточные серверы, предназначенные для сокрытия главного сервера, помогли экспертам обнаружить расположения FinSpy Master. Если кто-то пытается подключиться к IP-адресу FinSpy Relay, ему отображается поддельная страница Google.com и Yahoo.com. Исследователи обнаружили, что, если ложная Google.com выполняет запрос "my ip address", поисковая система будет отображать реальный IP-адрес FinSpy Master. В случае с Yahoo.com, эксперты использовали другой способ для обнаружения местоположения главного сервера. Исходный код web-страницы уже содержал в себе данные о расположении FinSpy Master, так как Yahoo использует эти данные для отображения погоды и новостей на главной странице. Таким образом эксперты выяснили, что шпионское ПО FinFisher используется государственными структурами в 32 странах по всему миру, в том числе в Анголе, Египте, Иордании, Казахстане, Кении, Ливане, Марокко, Парагвае, Саудовской Аравии, Словении, Испании, Тайване, Турции и Венесуэле. В некоторых случаях исследователям даже удалось проследить IP-адрес конкретных государственных учреждений.
Securitylab.ru