FinFisher
es un controvertido software de la firma británica Gamma International
utilizado para espiar y monitorizar remotamente a cualquier usuario o
institución que se necesite y que al parecer está siendo utilizada por cuerpos
gubernamentales con fines inciertos.
Objetivos
Existe una amplia información de
tipo comercial filtrada sobre el producto a través de
Wikileaks, pero públicamente no se ha hecho anuncio ni se conoce su manera
exacta de distribución o capacidades técnicas reales. Aunque se comercializa a
través de la compañía Gamma Group, esta alega que no sabe si ese software
detectado es realmente el suyo, o ha sido modificado de alguna manera. Admite
que es utilizado por los gobiernos para espiar pedófilos, terroristas o al
crimen organizado, pero niega ciertos comportamientos detectados en las
muestras que han salido a la luz.
Vídeo promocional filtrado:
La mejor manera de denominar a FinFisher es como
una suite de servicios de malware dedicados al espionaje industrial o
gubernamental, ofrecido de manera "legal"
pero no a todo el público. Que se sepa, hay indicios del uso de esta
herramienta desde el año 2011, relacionada sobre todo con objetivos árabes
tales como Egipto, Baréin, Turkmenistan, Etiopía, Dubái... muy similares a los
atacados por otras herramientas "no legales"
como Flame, Stutnet, Duqu o el recientemente descubierto Gauss.
La diferencia, aparte de posibles
conjeturas sobre la creación de las mencionadas herramientas por los gobiernos
institucionales de EEUU o China, es que FinFisher es una software creado en
Reino Unido y que puede ser utilizada por cualquier gobierno o corporación previo
pago de sus servicios. Funciona en el modo "Malware-as-a-service" (MaaS), en el que no es necesario
tener grandes conocimientos ni infraestructuras para poder manejar los datos
recopilados por la herramienta. Las capacidades y funcionalidades se "alquilan" como si de un servicio se
tratara.
Este concepto se ha visto en el
mundo del malware desde hace años. Tuvo su explosión con Zeus en 2006. El
malware (además de permitir la creación del troyano con las características
deseadas) permitía definir usuarios sin privilegios que se conectarían al panel
simplemente para recopilar datos durante un tiempo determinado. En definitiva,
estaba pensado para poder alquilar la botnet durante un tiempo. Con FinFisher, este
concepto se ha profesionalizado.
Características
Técnicamente y según la
información disponible, FinFisher proporciona diferentes módulos encargados de
la monitorización y espionaje de distintas partes del sistema infectado:
interceptación de conversaciones (Skype, Messenger), capturas de pantalla,
recolección de datos introducidos por el usuario, etc.. apuntando todo ello al
módulo denominado 'FinSpy'. Según
diferentes fuentes, se distribuiría mediante técnicas de descarga simulando
actualizaciones oficiales de software (se habla de iTunes en algunos casos) o
mediante adjuntos infectados en emails, utilizando técnicas de enmascaramiento
de extensiones (como la técnica de aprovechar el carácter Unicode "Right to Left").
En Virustotal, se identifican
varias muestras como FinSpy.A y FinSpy.B, con un alto ratio de detección. Por
ejemplo esta muestra se subió como proceso inyectado a Firefox.exe:
Centrándonos en uno de los
análisis realizados (por Morgan Marquis-Boire, ingeniero de seguridad de
Google), se confirma que son utilizadas por los propios gobiernos para el
espionaje y control de diferentes organizaciones, aunque en realidad,
cualquiera que se mueva en los círculos adecuados y haya pagado por este
software, podrá realizar las acciones que considere oportunas sobre quien
desee. Se sabe que se ha intentado infectar a activistas de Baréin.
En nuestro laboratorio hemos
podido confirmar que se conecta a la matriz oficial de Gamma en Alemania (https://www.gamma-international.de/GGI/Home/index.php)
y a un dominio gratuito de dynDNS (https://ff-demo.blogdns.org/)
desde donde ser realizan funciones de control.
Más información:
Company Denies Role in Recently Uncovered
Spyware
Trojan-Spy:W32/FinSpy.A
Cyber Attacks on Activists Traced to FinFisher
Spyware of Gamma
Finfisher: Governmental IT Intrusion and Remote
Monitoring Solutions
FinFisher Report
Finfisher, the case of a cyber espionage tool
found everywhere
José Mesa Orihuela
No hay comentarios:
Publicar un comentario