Sociálne siete

SecIT.sk na Facebooku SecIT.sk na Google+ SecIT.sk na Twitteri

Podporte nás


V prípade, že Vám obsah nášho portálu niekedy nejakým spôsobom pomohol, či bol pre Vás prínosom prosím podporte jeho chod ľubovoľnou čiastkou. Ďakujeme!

Štítky

Vyhľadávanie

You are here

Domov
Upozornenie: Obsah je licenčne chránený a bez písomných súhlasov autora článku a vlastníka webovej stránky nesmie byť v žiadnej forme ďalej kopírovaný a šírený v pôvodnom, či v akokoľvek upravenom stave.

FinFisher - keď je špiónom vládna agentúra

V poslednej dobe sa často stretávame so sofistikovaným malwarom, ktorého autor je povedzme neznámy. Ide o údajné špionáže s podporou jednej krajiny na území krajiny inej. Okrem toho tu však pôsobia aj firmy s biznisom postaveným na tvorbe legálneho vysoko sofistikovaného malware. Ich klientmi sú vlády najrôznejších krajín. Jeden takýto nástroj prenikol do sveta a riadiaci server má aj v Česku.

Čo je to vlastne FinFisher?

Odborníkom sa podarilo vykonať analýzu špionážneho nástroja FinFisher. FinFisher je dalo by sa povedať legálnym „výrobkom“ britskej spoločnosti Gamma Group International. Táto spoločnosť sa zameriava na predaj špionážnych riešení štátnym tajným, či spravodajským službám a orgánom činným v trestnom konaní na presadzovanie práva. Ide o spyware zaznamenávajúci chat, komunikáciu prostredníctvom programu Skype, snímky obrazovky, stlačenia kláves, dokáže aktivovať webkameru, či vstavaný mikrofón a okrem toho zbiera aj ďalšie informácie z infikovaného systému (napríklad súbory), ktoré potom odovzdáva objednávateľovi útoku. Tento spyware bol a pravdepodobne (jeho varianty) ešte stále je schopný vyhnúť sa pri detekcii viac ako 40 antivírusovým programom. Prvýkrát sa do jeho názov dostal so širšieho povedomia, keď egyptskí demonštranti objavili dokumenty týkajúce sa ponuky na jeho zakúpenie určenej vtedajšej egyptskej vláde. K odhaleniu prišlo vďaka dokumentom, ktoré boli zverejnené na Wikileaks. Gamma Group pre agentúru Bloomberg tvrdí, že predáva špionážne nástroje podľa predpisov Veľkej Británie, Nemecka a USA. Avšak ak sa nástroj dostane do rúk neznámych útočníkov môžu ho modifikovať a vytvoriť vlastnú verziu.

Prípad z Bahrajnu

Bezpečnostní experti sa dlho nemohli dostať k vzorke tohto nástroja. Stalo sa tak až nedávno, keď dvaja prodemokratickí bahrajnskí aktivisti hlásili podozrivé prijímanie e-mailov pravdepodobne nesúcich malware. E-maily obsahovali podozrivé prílohy.




Boli odoslané z adries:
  • melissa.aljazeera [at] gmail.com
  • freedombhrtoday [at] gmail.com
  • mkhalil1975 [at] gmail.com

A obsahovali predmety:

  • Existence of a new dialogue - Al-Wefaq & Government authority
  • Torture reports on Nabeel Rajab
  • King Hamad planning
  • Breaking News from Bahrain – 5 Suspects Arrested

Každý e-mail obsahoval aj archív s názvami ako:

  • _gpj.Arrested Suspects.rar
  • King hamad on official visit to .rar
  • Meeting Agenda.rar
  • Rajab.rar

Archívy obsahovali niekoľko súborov - Word dokumenty, obrázky a spustiteľné súbory:

  • dialoge.exe (MD5: ee5b03b5990dc310b77aac1d32da68de)
  • gpj.1egami.exe (MD5: e82647e42868e0ff0b6357fcf0f6e95f)
  • gpj.stcepsuS detserrA.exe (MD5: b6d700a58965692e92dce5dbc4323391)
  • gpj.bajaR.exe (MD5: d1216d3fd238cd87d9a7e433b6892b98)
  • gpj.1bajaR.exe (MD5: ad6f72b851ebcf7bf7c8b1c551140c5f)

Všetky súbory patria do jednej „rodiny malware.“ Experti zo spoločnosti Rapid7 identifikovali aj ďalšiu príbuznú vzorku:
wefaq.exe (MD5: cf7b2e1485771967ece90d32f3076814)

Aktivisti e-maily odovzdali novinárom z agentúry Bloomberg. Vo svojich tvrdeniach mali pravdu. Odborníci odhalili prítomnosť FinSpy, čo je súčasť komplexného nástroja FinFisher. Spoločnosť Gamma Group okamžite zareagovala a tvrdí, že do Bahrajnu nepredávala žiadny zo svojich produktov. Podľa jej stanoviska tak musí ísť o únik, alebo o výsledok reverzného inžinierstva. Možný únik začala prešetrovať. No voči tomuto vyhláseniu spoločnosti Gamma Group vo vzťahu k Bahrajnu sú odborníci skeptickí, nepredpokladajú, že reverzným inžinierstvom by sa podarilo niekomu dosiahnuť kvality nástroja FinSpy. Do úvahy tak ešte pripadá únik.

Analýza spoločnosti Rapid7

Následne vzorku analyzovali aj experti spoločnosti Rapid7. Všetky vzorky zachytené pri útoku v Bahrajne sa snažili kontaktovať IP adresu 77.69.140.194, ktorá patrí do Bahrain Manama Batelco (AS5416). Malware sa snaží na IP adrese nadviazať spojenie s viacerými portami - 22, 53, 80, alebo 443. Komunikácia je silne šifrovaná. Avšak odborníci izolovali niekoľko opakujúcich sa vzorov. Zistili, že C&C servery reagujú špecifickým spôsobom na určité http požiadavky. Veľmi dobrým vzorom pre identifikáciu je správa:

HTTP/1.1 200 OK
Content-Type: text/html; charset=UTF-8
Content-Length:12

Hallo Steffi

Tento fakt im umožnil identifikovať 11 IP adries C&C - komunikačných a kontrolných serverov po celom svete, ktoré odpovedali na požiadavky rovnakým spôsobom. Tieto servery sa nachádzajú v Indonézii, Austrálii, Katare, Etiópii, ale aj v Českej republike, Estónsku, USA, Mongolsku, Lotyšsku a v Dubaji. Po medializácii však na dané požiadavky prestali reagovať. To naznačuje, že ich prevádzkovatelia sú si vedomí mediálnej pozornosti, ktorú spyware vyvolal a neustále pracujú na ich aktualizácií.



IP adresy identifikovaných C&C serverov:

  • 112.78.143.26 (Indonesia)
  • 121.215.253.151 (Australia)
  • 78.100.57.165 (Qatar)
  • 213.55.99.74 (Ethiopia)
  • 94.112.255.116 (Czech Republic)
  • 213.168.28.91 (Estonia)
  • 54.248.2.220 (USA)
  • 202.179.31.227 (Mongolia)
  • 80.95.253.44 (Czech Republic)
  • 81.198.83.44 (Latvia)
  • 86.97.255.50 (Dubai, UAE)

Je Česká republika klientom Gamma Group?

Asi si kladiete otázku, či je spravodajská služba Českej republiky klientom britskej spoločnosti Gamma Group International resp., či používa spyware FinFisher na účely špionáže. Experti spoločnosti Rapid7 všeobecne pri všetkých spomínaných krajinách túto možnosť nevylučujú, čo sa týka aj Česka, avšak zdôrazňujú, že nie je možné s istotou povedať, či sú tieto servery skutočne riadené a kontrolované vládnymi agentúrami. Na prípad spyware FinFisher však zareagovalo CSIRT.cz, organizácia odporúča firmám sledovať, či v rámci ich systému neprebieha komunikácia s IP adresami uvedenými na blogu spoločnosti Rapid7, kde sa nachádzajú aj spomínané 2 české IP adresy. Konkrétne ide o IP adresu 94.112.255.116, podľa dát RIPE.net patriacu poskytovateľovi pripojenia UPC a.s. a 80.95.253.44 patriacu poskytovateľovi T-Systems a.s. Odborníci odporúčajú zverejnené IP adresy pridať na blacklisty firewallov/IPS systémov.

Záver

Ako vždy objavujú sa isté pochybnosti o identifikácií na základe vyššie popísaného vzoru. Avšak odborníci z Rapid7 si za svojim tvrdením stoja a zverejnili aj ďalšie podozrivo náhodné prvky, ktoré sa vyskytovali pri daných serveroch. Ide hlavne o otvorené porty, čo ich domnienky len potvrdzuje. Celkovo možno povedať, že okrem sofistikovaného malwaru používaného na špionážne účely v rámci Blízkeho východu, kde ide o špionáž vykonávanú najpravdepodobnejšie jedným štátom na území štátu iného sa nám celkom určite vynára aj ďalšia kategória vysoko sofistikovaných hrozieb. Ide však o malware dá sa povedať legálny, za ktorým stojí niekoľko profesionálnych a dobre platených vývojárov súkromnej spoločnosti. Ich zákazníkmi sú vládne agentúry krajín po celom svete. Tie ich používajú dúfajme skutočne len na vynucovanie práva, teda čisto legálne a zákonne. Avšak občasné škandály z rôznych kútov domova a sveta nás nútia myslieť si opak. A to nehovoriac, keď sa takýto nástroj dostane údajne vďaka záhadnému úniku do „nesprávnych rúk.“

Zdroje: community.rapid7.com, net-security.org, news.techworld.com


Podporte nás


Páčil sa Vám tento článok? Ak áno, prosím podporte nás ľubovoľnou čiastkou. Ďakujeme!


ITC manažer Security-portal.cz Soom.cz
Hoax.cz Crypto-world.info