FinFisher: un Malware «legal» que está siendo utilizado por cuerpos gubernamentales para espiar remotamente a usuarios bajo sospecha

FinFisher es un controvertido software de la firma británica Gamma
International utilizado para espiar y monitorizar remotamente a
cualquier usuario o institución que se necesite y que al parecer está
siendo utilizada por cuerpos gubernamentales con fines inciertos.

Objetivos

Existe una amplia información de tipo comercial filtrada sobre el
producto a través de Wikileaks, pero públicamente no se ha hecho anuncio
ni se conoce su manera exacta de distribución o capacidades técnicas
reales. Aunque se comercializa a través de la compañía Gamma Group, esta
alega que no sabe si ese software detectado es realmente el suyo, o ha
sido modificado de alguna manera. Admite que es utilizado por los
gobiernos para espiar pedófilos, terroristas o al crimen organizado,
pero niega ciertos comportamientos detectados en las muestras que han
salido a la luz.

Vídeo promocional filtrado:
http://www.youtube.com/watch?v=qc8i7C659FU

La mejor manera de denominar a FinFisher es como una suite de servicios
de malware dedicados al espionaje industrial o gubernamental, ofrecido
de manera «legal» pero no a todo el público. Que se sepa, hay indicios
del uso de esta herramienta desde el año 2011, relacionada sobre todo
con objetivos árabes tales como Egipto, Baréin, Turkmenistan, Etiopía,
Dubái… muy similares a los atacados por otras herramientas «no
legales» como Flame, Stutnet, Duqu o el recientemente descubierto Gauss.

La diferencia, aparte de posibles conjeturas sobre la creación de las
mencionadas herramientas por los gobiernos institucionales de EEUU o
China, es que FinFisher es una software creado en Reino Unido y que
puede ser utilizada por cualquier gobierno o corporación previo pago de
sus servicios. Funciona en el modo «Malware-as-a-service» (MaaS), en el
que no es necesario tener grandes conocimientos ni infraestructuras para
poder manejar los datos recopilados por la herramienta. Las capacidades
y funcionalidades se «alquilan» como si de un servicio se tratara.

Este concepto se ha visto en el mundo del malware desde hace años. Tuvo
su explosión con Zeus en 2006. El malware (además de permitir la
creación del troyano con las características deseadas) permitía definir
usuarios sin privilegios que se conectarían al panel simplemente para
recopilar datos durante un tiempo determinado. En definitiva, estaba
pensado para poder alquilar la botnet durante un tiempo. Con FinFisher,
este concepto se ha profesionalizado.

Características

Técnicamente y según la información disponible, FinFisher proporciona
diferentes módulos encargados de la monitorización y espionaje de
distintas partes del sistema infectado: interceptación de conversaciones
(Skype, Messenger), capturas de pantalla, recolección de datos
introducidos por el usuario, etc.. apuntando todo ello al módulo
denominado ‘FinSpy’. Según diferentes fuentes, se distribuiría mediante
técnicas de descarga simulando actualizaciones oficiales de software (se
habla de iTunes en algunos casos) o mediante adjuntos infectados en
emails, utilizando técnicas de enmascaramiento de extensiones (como la
técnica de aprovechar el carácter Unicode «Right to Left»).

En Virustotal, se identifican varias muestras como FinSpy.A y FinSpy.B,
con un alto ratio de detección. Por ejemplo esta muestra se subió como
proceso inyectado a Firefox.exe:
https://www.virustotal.com/file/81531ce5a248aead7cda76dd300f303dafe6f1b7a4c953ca4d7a9a27b5cd6cdf/analysis/

Centrándonos en uno de los análisis realizados (por Morgan
Marquis-Boire, ingeniero de seguridad de Google), se confirma que son
utilizadas por los propios gobiernos para el espionaje y control de
diferentes organizaciones, aunque en realidad, cualquiera que se mueva
en los círculos adecuados y haya pagado por este software, podrá
realizar las acciones que considere oportunas sobre quien desee. Se sabe
que se ha intentado infectar a activistas de Baréin.

En nuestro laboratorio hemos podido confirmar que se conecta a la matriz
oficial de Gamma en Alemania
(https://www.gamma-international.de/GGI/Home/index.php) y a un dominio
gratuito de dynDNS (https://ff-demo.blogdns.org/) desde donde ser
realizan funciones de control.

http://2.bp.blogspot.com/-v1knHtbIWJM/UDKIdFYpe9I/AAAAAAAAA1Y/101rrR300bY/s1600/conexiones.png
Fuente

 

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

You can follow any responses to this entry through the RSS 2.0 feed. Both comments and pings are currently closed.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies