Program szpiegujący FinFisher potajemnie monitoruje komputery, może przechwytywać rozmowy przez Skype, włączać kamerę internetową i rejestrować naciśnięcia klawiszy. Jego producent, firma Gamma, reklamuje go jako oprogramowanie pomagające egzekwować prawo, adresowane do rządów i organów bezpieczeństwa.
FinFisher może kontrolować różne urządzenia mobilne, w tym iPhone firmy Apple i BlackBerry Research in Motion (RIM), wynika z analizy próbek demonstrujących jego możliwości. Program może potajemnie włączać mikrofon, śledzić lokalizację, a także monitorować e-maile, SMS-y i rozmowy, wynika z raportu opublikowanego niedawno przez kanadyjskie laboratorium Citizen Lab, działające przy Uniwersytecie w Toronto, które badało tajemniczą cyber-broń.
Śledztwo w sprawie oprogramowania szpiegującego nabrało tempa w lipcu, gdy badanie e-maili dostarczonych przez “Bloomberg News” wykazało, że miały one kontakt z narzędziem FinFisher, infekującym komputery osobiste – w tym przypadku złośliwe oprogramowanie śledziło aktywistów z Bahrajnu w Zatoce Perskiej.
Analiza, prowadzona pod kierunkiem Morgana Marquis-Boire’a, pokazuje, w jaki sposób programy szpiegowskie infekują urządzenia i śledzą każdy krok ich użytkowników. – Ludzie chodzą po ulicach z narzędziami szpiegowskimi w kieszeniach – mówi John Scott-Railton, doktorant z Uniwersytetu kalifornijskiego w Los Angeles, który uczestniczył w badaniu. – Za pomocą tych narzędzi można włączyć mikrofon, albo zamienić telefon w urządzenie do geolokalizacji.
Badanie w pełni potwierdziło informacje z materiałów promocyjnych narzędzia firmy Gamma o nazwie FinSpy Mobile. Jego wyniki ilustrują, jak niekontrolowany handel groźnymi narzędziami hakerskimi na naszych oczach zmienia styl szpiegowania, czyniąc je jeszcze bardziej natarczywym.
Produkty FinFisher potajemnie monitorują komputery, mogą przechwytywać rozmowy przez Skype, włączać kamerę internetową i rejestrować naciśnięcia klawiszy. Firma Gamma reklamuje je oprogramowanie pomagające egzekwować prawo, adresowane do rządów i organów bezpieczeństwa.
"Gamma dostarcza oprogramowanie do monitorowania urządzeń mobilnych, FinSpy Mobile” potwierdził we wtorek Martin Muench, dyrektor Gamma International z Monachium. “Nie zamierzam upubliczniać tego, w jaki sposób działa i na jakich platformach. Nie będziemy informować przestępców o tym, w jaki sposób nasze systemy wykrywania mogą być użyte przeciwko nim".
Muench twierdzi, że jego firma nie sprzedała oprogramowania FinFisher do Bahrajnu. “Trwa śledztwo, które ustali, w jaki sposób nasze oprogramowanie tam trafiło”, napisał w e-mailu.
Już w środę firma Gamma wydała kolejne oświadczenie, w którym tłumaczyła, że doszło do kradzieży pewnych informacji z ich serwera demonstracyjnego. “Skradziono informacje służące do identyfikacji demonstracyjnego oprogramowania Gamma – napisano. – Kradzież w żaden sposób nie naraziła na niebezpieczeństwo naszych klientów”.
Muench zapewnia, że Gamma sprzedaje swoje narzędzia wyłącznie rządom i ich agencjom, a wszystko zgodnie z przepisami o eksporcie obowiązującymi w Wielkiej Brytanii, USA i Niemczech.
W lipcu aktywiści z Bahrajnu przekazali ekipie Marquis-Boire'a dodatkowe próbki do testów. Analiza kilku z nich wskazuje, że mogą to być wersje demo narzędzia FinSpy Mobile i wersje końcowe produktu, służące do szpiegowania rzeczywistych obiektów. Autorzy reportu nie podają, kogo szpiegowano za pomocą złośliwego oprogramowania, ani jakie urządzenia były zainfekowane.
W grudniu serwis WikiLeaks opublikował materiały promocyjne i wideo o FinSpy Mobile. Filmik pokazuje, jak użytkownik smartfona BlackBerry otrzymuje powiadomienie z linkiem do fałszywej aktualizacji – i popełnia błąd, klikając na wskazany adres. "Po zainstalowaniu w telefonie FinSpy Mobile, program może zdalnie kontrolować i monitorować urządzenie, bez względu na to, gdzie w danym momencie przebywa Obiekt”, informuje broszura opublikowana przez WikiLeaks.
Narzędzie jest w stanie kontrolować różne systemy, w tym Windows Mobile Microsoftu, iOS iPhone, BlackBerry czy Android Google, wynika z oficjalnych danych firmy. Środowy raport ujawnia, że oprogramowanie może zainfekować także telefony z systemem operacyjnym Symbian, Nokia Oyj, a nawet tablety iPad.
Aby zainfekować urządzenie mobilne wystarczy kliknąć w niewinnie wyglądający link internetowy i ściągnąć złośliwe oprogramowanie, którego nazwa nie ma nic wspólnego z FinSpy. Na filmie promocyjnym Gamma widać, że proces jest bardzo prosty: wystarczy wysłać użytkownikowi wiadomość tekstową z linkiem sprawiającym wrażenie, że pochodzi od producenta telefonu i informacją o możliwości aktualizacji systemu, tłumaczy Marquis-Boire. Istnieje też inny sposób: osoba próbująca zainfekować czyjś telefon musi mieć fizyczny dostęp do urządzenia, lub znać hasła blokujące.
Wydaje się, że oprogramowanie FinSpy, przeznaczone na Windows Mobile, nie infekuje nowszego systemu Windows Phone, wprowadzonego w 2010 roku, informuje Claudio Guarnieri, badacz z bostońskiej firmy Rapid7, specjalizującej się w oprogramowaniu do zarządzania podatnością systemów na złamanie zabezpieczeń, który analizował złośliwe oprogramowanie adresowane do urządzeń z Windows.
Microsoft zapewnia, że jego program antyszpiegowski blokuje trojana FinSpy, i że system Windows Phone nie pozwala na zainstalowanie oprogramowania nieznanej firmy. „Radzimy, by użytkownicy telefonów z systemem Windows nie klikali w nieznajome linki i nie instalowali programów pochodzących z nieznanych źródeł”, ostrzega w swoim oświadczeniu Microsoft.
"Smartfony BlackBerry pozwalają użytkownikowi decydować o tym, co zainstalują w urządzeniu i wymagają zezwolenia na instalowanie aplikacji pochodzących z obcego źródła – tłumaczy ich producent, kanadyjska firma RIM. – Zalecamy użytkownikom, by ściągali aplikacje wyłącznie z zaufanych źródeł".
Fińska Nokia także uspokaja swoich użytkowników, zapewniając, że aplikacje takie jak FinFisher instaluje się aktywnie. “Choć w przeszłości zdarzały się skargi na podobne produkty, w tej chwili nasi użytkownicy nie informują o żadnych incydentach z oprogramowaniem szpiegującym”, twierdzi
Nokia, która w ubiegłym roku zrezygnowała z systemu Symbian na rzecz Windows Phone.
Rzecznicy Apple i Google odmówili komentarza.
Nowe badanie rzuca też światło na globalny zasięg FinFisher. Na początku sierpnia pojawiła się informacja o tym, że niezależni badacze odkryli w co najmniej 10 krajach z 5 kontynentów komputery zachowujące się jak serwery, do których urządzenia zainfekowane narzędziami FinFisher wysyłają wykradzione dane. Badaniem kierował Guarnieri z Rapid7.
Eksperci analizujący próbki z Bahrajnu ustalili, w jaki sposób komputery sterujące komunikują się z zainfekowanymi urządzeniami, a następnie przeskanowali sieci komputerowe w poszukiwaniu sygnałów wskazujących taką aktywność.
Poszukiwania, prowadzone pod kierunkiem Billa Marczaka, doktoranta z Uniwersytetu Kalifornijskiego w Berkeley, doprowadziły do wielu urządzeń, odkrytych przez Guarnieriego, który korzystał z zupełnie innej metody. Naukowcy z Berkley zidentyfikowali też kilka innych krajów, w których rozmieszczono komputery sterujące – w sumie tego typu urządzenia odkryto w 15 państwach na całym świecie.
Próbki aplikacji infekujących urządzenia mobilne także powiązano z FinFisher. W jednym z przypadków odkryto próbkę przekazującą dane pod ten sam adres internetowy w Czechach, który w swoim badaniu Guarnieri określił jako prawdopodobny adres komputera sterującego FinFisher.
Na razie nie wiadomo, czy rządy i agencje rozpoznane przez badaczy są klientami Gamma.
Rzecznik czeskiego MSW oświadczył, że nie ma żadnych informacji o stosowaniu narzędzi Gamma przez czeskie władze i agencje rządowe. Rzeczniczka ministerstwa obrony zapewniła, że urząd nigdy nie używał produktów Gamma. Czeski wywiad nie odpowiedział na email z prośbą o komentarz.
Zdaniem Muencha z firmy Gamma robienie zamieszania wokół ich produktu jest nieuczciwe, bo istnieje mnóstwo innych narzędzi szpiegowskich, o których wiadomo znacznie mniej niż o FinFisher, przeznaczonym do zbierania informacji na użytek wymiaru sprawiedliwości i sprzedawanym wyłącznie rządom.
Muench przywołał przykład Rapid7, firmy, która prowadziła śledztwo w sprawie Gamma, choć jednocześnie sama oferuje darmowy program Metasploit, służący do penetrowania baz danych i łamania systemów zabezpieczeń. Rapid7 reklamuje Metasploit jako narzędzie do testów penetracyjnych.
"Dlaczego nikt nie robi szumu wokół darmowego oprogramowania, nad którym nie ma żadnego nadzoru?", oburzał się w e-mailu Muench. "Czy Rapid7 może twierdzić, że nigdy nie wypuścił żadnego złośliwego oprogramowania?"
Rapid7 broni się, że dostarcza branży bezpieczeństwa narzędzi do skutecznej obrony przed cyberatakami. "Metasploit nie jest złośliwym oprogramowaniem”, zapewniła firma w swoim oświadczeniu.
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
