Bezpečnostní experti overili všetky nedávne aktualizácie špionážneho softvéru FinSpy pre systémy Windows, Mac OS, Linux a jeho inštalátorov. 8-mesačný výskum odhalil viaceré maskovania, vrátane štyroch vrstiev obfuskácie (zahmlievania), pokročilých protianalytických opatrení nasadených vývojármi tohto špionážneho softvéru, ako aj použitie bootkitu rozhrania firmvéru UEFI na infikovanie obetí.
FinFisher, známy aj ako FinSpy či Wingbird, je sledovací nástroj, ktorý spoločnosť Kaspersky monitoruje už od roku 2011. Dokáže zhromažďovať rôzne prihlasovacie údaje, zoznamy súborov či odstránené súbory, takisto aj rôzne dokumenty či dáta týkajúce sa živého streamovania alebo nahrávok a dokáže tiež získať prístup k webovej kamere a mikrofónu. Jeho vzorky identifikované v operačnom systéme Windows boli do roku 2018 odhalené a skúmané niekoľkokrát, následne sa zdalo, že sa FinFisher prestal používať. Avšak spoločnosť Kaspersky neskôr odhalila podozrivé inštalátory legitímnych aplikácií ako TeamViewer, VLC Media Player a WinRAR, ktoré obsahovali škodlivý kód a ktorý nebolo možné spojiť so žiadnym známym malvérom. Teda až kým jedného dňa neobjavili webovú stránku v barmčine, ktorá obsahovala infikované inštalačné programy a vzorky spyvéru FinFisher pre Android, čo pomohlo identifikovať, že sú napadnuté rovnakým spyvérom. Tento objav podnietil expertov spoločnosti k jeho ďalšej analýze. Na rozdiel od predchádzajúcich verzií spyvéru, ktoré obsahovali trójskeho koňa hneď v infikovanej aplikácii, boli nové vzorky chránené dvomi zložkami. Prvá vykonávala viaceré bezpečnostné kontroly, aby sa uistila, že infikované zariadenie nepatrí bezpečnostnému profesionálovi. Keď tieto kontroly prebehli úspešne, server poskytol povalidačný komponent, ktorý zabezpečil, že infikovaná obeť je tá, ktorú mali na muške. Až vtedy dal server príkaz na nasadenie plnohodnotnej platformy tohto trójskeho koňa.
Na ochranu pred hrozbami ako napríklad FinFisher spoločnosť Kaspersky odporúča:
• Sťahovať aplikácie a programy iba z dôveryhodných webových stránok.
• Nezabudnúť pravidelne aktualizovať operačný systém a všetok softvér. Mnohé bezpečnostné problémy sa dajú vyriešiť inštaláciou aktualizovaných verzií softvéru.
• Vo všeobecnosti nedôverovať prílohám a linkom v emailoch. Pred kliknutím na prílohu alebo na odkaz starostlivo zvážiť, či je od niekoho, koho poznáte a komu dôverujete, či ju očakávate a pod. Ak sa nastavíte kurzorom myši na odkaz alebo prílohu, zistíte tak, ako sa volajú alebo kam skutočne smerujú.
• Vyhnúť sa inštalácii softvéru z neznámych zdrojov. Môže obsahovať a často aj obsahuje škodlivé súbory.
• Používať silné bezpečnostné riešenie na všetkých počítačoch a mobilných zariadeniach.
Na ochranu firiem a organizácií spoločnosť Kaspersky odporúča:
• Nastaviť zásady pre používanie iného ako firemného softvéru. Poučte zamestnancov o rizikách sťahovania neautorizovaných aplikácií z nedôveryhodných zdrojov.
• Poskytnúť svojim zamestnancom školenie zamerané na kybernetickú bezpečnosť, pretože mnohé cielené útoky začínajú phishingom alebo inými technikami sociálneho inžinierstva.
• Nainštalovať riešenia anti-APT a EDR, ktoré umožňujú detekciu hrozieb, jej prešetrenie a včasnú nápravu incidentov. Zabezpečte svojmu SOC tímu prístup k najnovším informáciám o hrozbách a pravidelne zvyšujte jeho kvalifikáciu prostredníctvom odborných školení.
• Spolu so správnou ochranou koncových bodov môžu špecializované služby pomôcť proti vysokoprofilovým útokom. Dokážu pomôcť identifikovať a zastaviť útoky v ich počiatočných štádiách, ešte predtým, než útočníci dosiahnu svoj cieľ.