ISPها می توانند در آلوده کردن شما توسط نرم افزارهای جاسوسیِ FinFisher به هکرها کمک کنند!
آیا شما مطمئنید نسخه ای از WhatsApp، Skype یا VLC Player که بر روی دستگاه شما نصب شده، قانونی است؟
محققان امنیتی دریافته اند که دانلودهای قانونی برنامه های محبوبی مانند WhatsApp، Skype، VLC Player و WinRAR طبق گزارشات اعلام شده، در سطح ISP تسخیر شده است تا نرم افزار جاسوسی FinFisher (یا FinSpy) را توزیع نماید.
FinSpy یک ابزار جاسوسی بسیار سری است که قبلاً وابسته به شرکت بریتانیایی Gamma Group بود، شرکتی که نرم افزارهای نظارت و جاسوسی را به طور قانونی به سازمان های دولتی در سراسر جهان می فروشد.
نرم افزار جاسوسی، توانایی های جاسوسی گسترده ای بر روی سیستم آلوده دارد، از جمله نظارت مخفیانه به صورت زنده توسط روشن نمودن وبکم و میکروفون خود، ثبت و ضبط هر چیزی که قربانی تایپ می کند از طریق کی لاگر، قطع تماس های اسکایپ، و انتقال غیرمجاز فایل ها.
به منظور دستیابی به سیستم هدف، FinFisher معمولاً از شیوه های حمله ی متفاوتی استفاده می کند، از جمله spear phishing، نصب دستی با دسترسی فیزیکی به دستگاه، اکسپلویت های zero-day و حملات watering hole.
ISP شما ممکن است به هکرها کمک کند تا شما را جاسوسی کنند!
گزارش جدیدی که امروز توسط ESET منتشر شد، ادعا نمود که محققان این شرکت جاسوسی های جدیدی با استفاده از انواع جدید FinFisher در هفت کشور کشف کرده اند، که با یک برنامه ی قانونی همراه است.
اما چگونه این اتفاق می افتد؟
مهاجم قربانیان را با یک حمله ی man-in-the-middle هدف قرار می دهد، که در آنجا ISPها به احتمال زیاد به عنوان middle man عمل می کنند__همراه کردن نرم افزارهای قانونی با FinFisher.
محققان می گویند:"ما این شیوه را در دو کشور دیده ایم، که در آنها سیستم های ESET جدیدترین نرم افزارهای جاسوسی FinFisher را شناسایی کرده اند (در پنج کشور باقیمانده، این کمپین ها به شیوه های آلودهسازی سنتی متکی هستند)."
پیش از این، اسناد منتشر شده توسط WikiLeaks نیز نشان داد که سازنده FinFisher ابزاری به نام " FinFly ISP " نیز ارائه می دهد، که قرار است در سطح ISP با قابلیت هایی که برای حملاتی مانند MitM ضروری هستند، مستقر شود.
یکی دیگر از واقعیت هایی که از حمله ی MitM در سطح ISP پشتیبانی می کند، این است که تمامی اهدافِ آسیب دیده ای که داخل یک کشور توسط محققان شناسایی شده اند، همه از همان ISP استفاده می کرده اند.
گزارش ESET در ادامه بیان می دارد که: "در نهایت، همان روش و فرمت انتقال، برای فیلتر نمودن محتوای اینترنت توسط ارائه دهندگان خدمات اینترنتی (ISP)، حداقل در یکی از کشورهای آسیب دیده مورد استفاده قرار گرفته است."
برنامه های محبوبی همچون WhatsApp، Skype، VLC Player، Avast و WinRAR توسط انواع جدید FinFisherها مورد هدف قرار گرفته اند، و محققان ESET اذعان داشته اند که: "تقریباً هر برنامه ای می تواند به این نحو مورد سوءاستفاده قرار گیرد."
حمله چگونه کار می کند؟
زمانی که کاربران هدف به دنبال یکی از برنامه های آسیب دیده در سایت های قانونی هستند، و بر روی لینک دانلود آن کلیک می کنند، مرورگرشان از یک URL تغییر یافته استفاده می کند که قربانیان را به سمت یک پکیج نصب تروجان که در سرور مهاجم قرار دارد هدایت می نماید.
نتیجه ی این امر، نصب نسخه ای از برنامه ی قانونی همراه با ابزار جاسوسی است.
محققان می گویند: "هدایت کاربر توسط جایگزینی لینک دانلود قانونی با یک لینک مخرب صورت می گیرد." لینک مخرب از طریق یک انتقال موقت HTTP با کد پاسخ وضعیت ۳۰۷ به مرورگر کاربر تحویل داده می شود، این کد وضعیت نشان دهنده این است که محتوای درخواست شده به طور موقت به یک URL جدید منتقل شده است.
به گفته محققان، کل فرآیند انتقال بدون اطلاع کاربر و به دور از چشم او صورت می گیرد.
FinFisher از ترفندهای جدید زیادی استفاده می کند
ترفندهایی که توسط آخرین نسخه FinFisher استفاده شده بود، از فاش شدن توسط محققان حفظ شد.
محققان همچنین یادآور میشوند که آخرین نسخه ی FinFisher از لحاظ مخفی سازی، از جمله استفاده از مجازیسازی کد سفارشی جهت محافظت از اکثر اجزای آن مانند درایور kernel-mode، بهبودهای فنی داشته است.
همچنین از ترفندهای disassembly-anti، sandboxing-antiهای متعدد، anti-debugging، virtualization-anti و ترفندهای anti-emulation، با هدف تسخیر نرم افزارهای رمزنگاری to-end-end و ابزارهای محرمانگی شناخته شده استفاده می کنند.
یکی از این برنامه های پیام رسان ایمن، به نام Threema، توسط محققان در حالی که آنها در حال تحلیل کمپین های اخیر بودند کشف شد.
محققان می گویند: "نرم افزارهای جاسوسی FinFisher، خود را به صورت یک فایل اجرایی به نام Threema درمی آورند. چنین فایلی می تواند برای مورد هدف قرار دادن محرمانگی کاربران مورد استفاده قرار گیرد، همانطور که برنامه قانونی Threema، امکان پیام رسانی امن و فوری را با رمزنگاری end-to-end فراهم می آورد."
منبع: http://thehackernews.com/2017/09/gamma-finfisher-hacking-tool.html
