Tech

Rendkívül nehezen felismerhető kémprogramot találtak

Kaspersky
Kaspersky

A Kaspersky kutatói átfogó vizsgálatot végeztek a FinSpy kémprogram windowsos, Mac OS-es és linuxos változatai, valamint telepítőprogramjai legújabb frissítéseit érintően. A nyolc hónapon át zajló kutatás rávilágított, hogy a FinFisher az egyik legnehezebben detektálható kémprogram.

A FinFisher (más néven FinSpy vagy Wingbird) egy felügyeleti eszköz, amelyet a Kaspersky már 2011 óta figyel. A program képes a különféle hitelesítési adatok, fájllisták és törölt fájIok, valamint különféle dokumentumok, élő streamek vagy felvételek adatainak begyűjtésére, és hozzá tud férni a webkamerához és a mikrofonhoz. A Windowsba beépülő elemeit többször is észlelték és kutatták egészen 2018-ig, amikor is a FinFisher eltűnni látszott a radarról.

Ezt követően a Kaspersky megoldásai gyanús telepítőprogramokat találtak, amelyek legális alkalmazások – pl. a TeamViewer, a VLC Media Player és a WinRAR – telepítői voltak, és olyan rosszindulatú kódot tartalmaztak, amely semmilyen ismert malware-hez nem volt köthető.

Aztán egy napon találtak egy burmai nyelvű weboldalt, ahol fenn voltak a fertőzött telepítőprogramok és a FinFisher androidos változatának példányai, így sikerült megállapítani, hogy mindegyiket ugyanaz a kémprogram fertőzte meg trójai vírussal. Ez a felfedezés a FinFisher további vizsgálatára ösztönözte a Kaspersky kutatóit.

A kémprogram korábbi verzióival ellentétben, ahol a trójai vírust közvetlenül a fertőzött alkalmazás tartalmazta, az új példányokat két komponens védte: egy nem állandó elővalidátor és egy utóvalidátor. Az első komponens több biztonsági ellenőrzést futtat, hogy megbizonyosodjon arról, hogy a megfertőzendő eszköz nem egy biztonsági kutatóé-e. Az utóvalidátor komponenst csak akkor indítja el a szerver, ha ez az ellenőrzés sikeres. Ez a komponens azt biztosítja, hogy valóban a megfertőzni szándékozott áldozatot fertőzzék meg. A szerver csak ezt követően ad parancsot a teljes trójai platform telepítésére – írja közleményében a biztonsági cég.

A trójai program sajátos módszerek alkalmazásával gyűjt információkat. Fejlesztői módot használ például a böngészőben, és így fogja el a HTTPS protokollal védett forgalmat. A kutatók felfedezték a FinFisher olyan példányát is, amelyik a Windows UEFI bootloadert (rendszerbetöltő programot) cseréli ki – ez a komponens indítja el az operációs rendszert a firmware elindulása után egy rosszindulatúval együtt. Ez a fertőzési módszer lehetővé tette, hogy a támadók a firmware biztonsági ellenőrzéseinek megkerülése nélkül telepítsenek fel egy bootkitet. Az UEFI-fertőzések nagyon ritkák és általában nehezen kivitelezhetőek.

Különösen aggasztó, ugyanakkor bizonyos fokig impresszív is, mennyi energiát fordítottak arra, hogy a FinFisher ne legyen hozzáférhető a biztonsági kutatók számára. Úgy tűnik, hogy a fejlesztők legalább annyi munkát fektettek az obfuszkációba és az anti-analízis eljárásokba, mint magába a trójai vírusba. Ennélfogva ezt a kémprogramot az észlelést és az elemzést kikerülni tudó képessége miatt különösen nehéz nyomon követni és észlelni. Nagyfokú precizitással telepítik és gyakorlatilag lehetetlen elemezni, ami egyben azt is jelenti, hogy az áldozatai különösen sérülékenyek, a kutatók pedig speciális kihívással állnak szemben, ugyanis hatalmas mennyiségű erőforrás kell ahhoz, hogy minden egyes példányt kibogozzanak. Szerintem a FinFisherhez hasonlóan komplex fenyegetések jól mutatják, milyen fontos a biztonsági kutatók közötti együttműködés és tudáscsere, valamint a hasonló fenyegetések leküzdését szolgáló új típusú biztonsági megoldásokba való beruházás”

– mondta el ennek kapcsán Igor Kuznyecov, a Kaspersky globális kutató és elemző csapatának vezető biztonsági kutatója.

A Kaspersky a következőket javasolja a FinFisherhez hasonló fenyegetések elleni védekezéshez:

  • Csak megbízható weboldalakról töltsön le alkalmazásokat és programokat.
  • Ne felejtse el rendszeresen frissíteni az operációs rendszerét és minden szoftverét. A frissített szoftververziók telepítésével számos biztonsági probléma megoldható.
  • Alapból ne bízzon meg az e-mailben kapott csatolmányokban. Mielőtt rákattint egy csatolmányra a megnyitáshoz, vagy mielőtt rákattint egy linkre, alaposan gondolja végig, hogy olyan valakitől érkezett, akit ismer és akiben megbízik, várta-e, tiszta-e? Vigye az egérmutatót a link vagy a csatolmány fölé, és nézze meg, mi a neve, vagy hogy hova visz valójában.
  • Ne telepítsen ismeretlen forrásból származó szoftvereket, ugyanis tartalmazhatnak, és sokszor tartalmaznak is rosszindulatú fájlokat.
  • Minden számítógépén és mobil eszközén használjon erős biztonsági megoldást, például a következőket: Kaspersky Internet Security for Android vagy Kaspersky Total Security.

Ajánlott videó

Olvasói sztorik