Can FinSpy be installed on mobile devices?

FinSpy: Den dybdegående guide til spyware

02/01/2024

Rating: 3.93 (16920 votes)

FinSpy: En Dybdegående Analyse af Avanceret Spionsoftware

I en verden, hvor digital overvågning bliver stadigt mere udbredt, er det essentielt at forstå de værktøjer, der anvendes til dette formål. En af de mest bemærkelsesværdige og sofistikerede former for spionsoftware på markedet er FinSpy, også kendt under navnet FinFisher eller Wingbird. Denne software, der primært anvendes af retshåndhævelse og regeringsagenturer globalt, har været genstand for intensiv forskning, herunder omfattende analyser fra Kaspersky. Denne artikel dykker ned i, hvad FinSpy er, hvordan det fungerer, hvilke data det kan indsamle, og vigtigst af alt, hvordan man kan beskytte sig mod denne avancerede trussel.

What is Kaspersky FinFisher & how does it work?
FinFisher, also known as FinSpy or Wingbird, is a surveillance tool, which Kaspersky has been tracking since 2011. It is capable of gathering various credentials, file listings and deleted files, as well as various documents, livestreaming or recording data and gaining access to a webcam and microphone.
Indholdsfortegnelse
  • Hvad er FinSpy?
  • Hvordan Spreder FinSpy Sig?
  • Hvilke Data Stjæler FinSpy?
  • Avancerede Infektionsmetoder: UEFI og MBR Bootkits
  • Bruger-Mode Infektion: Den Komplekse Tilgang
  • FinSpy på macOS og Linux
  • Komponenterne i FinSpy Trojanen
  • Hvordan Beskytter Man Sig Mod FinSpy?
  • Konklusion

    • Hvad er FinSpy?

    FinSpy er et kommercielt spionsoftwareprogram, der først kom frem i offentlighedens søgelys i 2011 via WikiLeaks-dokumenter. Siden da har det gennemgået betydelig udvikling, og trods kildekoden, der dukkede op online i 2014, fortsætter malwaren med at inficere enheder verden over. Dens alsidighed er en af dens mest skræmmende egenskaber; FinSpy findes i versioner til computere, der kører Windows, macOS og Linux, samt til mobile enheder med Android og iOS. Funktionerne varierer afhængigt af platformen, men kernen i FinSpys virkemåde er dens evne til at transmittere store mængder data om brugeren til sine operatører på en diskret måde.

    Hvordan Spreder FinSpy Sig?

    FinSpy anvender en række metoder til at infiltrere sine mål:

    Metoder for Computerinfektion:

    • Inficerede Distributionspakker: FinSpy kan gemme sig i modificerede installationsprogrammer for populær software som TeamViewer, VLC Media Player og WinRAR. Når en bruger downloader og kører en sådan pakke, igangsættes en kæde af infektioner.
    • Bootkits (UEFI og MBR): Mere avancerede infektionsvektorer involverer bootkits. Forskere har fundet FinSpy-loadere i komponenter, der indlæses før selve operativsystemet, såsom UEFI (Unified Extensible Firmware Interface) og MBR (Master Boot Record). Dette betyder, at blot opstart af computeren kan resultere i en FinSpy-infektion.

    Metoder for Mobilinfektion:

    • SMS-links: Smartphones og tablets kan blive inficeret via et link modtaget i en tekstbesked.
    • Fysisk Adgang: I nogle tilfælde, især for ikke-jailbroken iPhones, kan angriberne kræve fysisk adgang til enheden for at kunne installere FinSpy. Fysisk adgang synes også at være nødvendig for Linux-maskiner, selvom dette ikke er endeligt bekræftet.

    Hvilke Data Stjæler FinSpy?

    FinSpys overvågningskapaciteter er omfattende og dybtgående. Afhængigt af platformen kan malwaren udføre følgende handlinger:

    Funktioner på PC-versioner:

    • Mikrofonoptagelse: Aktiverer mikrofonen for at optage og transmittere lyd.
    • Tastaturlogging: Optager alt, hvad brugeren taster på tastaturet, og sender det i realtid.
    • Kameraovervågning: Aktiverer kameraet for at optage og transmittere billeder.
    • Filstjæleri: Indsamler filer, som brugeren interagerer med – herunder adgang, ændring, udskrivning, modtagelse og sletning.
    • Skærmbilleder: Tager skærmbilleder eller optager specifikke dele af skærmen.
    • E-mail-tyveri: Stjæler e-mails fra klienter som Thunderbird, Outlook, Apple Mail og Icedove.
    • Skype-overvågning: Opsnapper kontakter, chats, opkald og filer i Skype.
    • VoIP-aflytning: Aflytter VoIP-opkald.
    • Opsnapning af Certifikater og Krypteringsnøgler: Opsnapper certifikater og krypteringsnøgler for visse protokoller.
    • Download af Forensiske Værktøjer: Kan downloade og køre yderligere værktøjer til dataindsamling.
    • BlackBerry-infektion: Windows-versionen kan inficere BlackBerry-smartphones.

    Funktioner på Mobilversioner (Android og iOS):

    • Opkaldsoptagelse: Lytter til og optager både almindelige opkald og VoIP-opkald.
    • SMS-overvågning: Læser tekstbeskeder.
    • Instant Messaging-overvågning: Overvåger brugeraktivitet i apps som WhatsApp, WeChat, Viber, Skype, Line, Telegram, Signal og Threema.
    • Kontaktovervågning: Sender en liste over brugerens kontakter.
    • Kalender- og Geolokaliseringsdata: Indsamler kalenderbegivenheder og lokationsdata.
    • Opkaldshistorik: Overvåger opkaldshistorik.

    Avancerede Infektionsmetoder: UEFI og MBR Bootkits

    Kasperskys forskning har afdækket særligt snedige infektionsmetoder, der involverer bootkits. Disse metoder giver FinSpy en utrolig vedholdenhed og evne til at undgå traditionelle sikkerhedsforanstaltninger:

    UEFI Infektion:

    Ved UEFI-infektion erstattes den legitime Windows Boot Manager med en ondsindet version. Når systemet starter, indlæses en ondsindet loader, der lokaliserer den originale boot manager, patche den og starter den. Den patched funktion hooker kernens `PsCreateSystemThread` funktion, som derefter skaber en ny tråd, der dekrypterer og starter den næste fase af FinSpy-malwaren. Denne metode sikrer, at FinSpy indlæses, før operativsystemet og dets sikkerhedsmekanismer overhovedet er startet.

    What is FinSpy spyware & how does it work?
    FinSpy spyware targets Android, iOS, macOS, Windows, and Linux users. Here’s what it can do and how to stay protected. At Kaspersky’s recent Security Analyst Summit, our experts presented a detailed report on FinSpy (aka FinFisher) spyware and its distribution methods, including some previously unknown ones.

    MBR Infektion:

    For ældre systemer uden UEFI kan MBR-infektion finde sted. Den inficerede MBR kopierer den indledende loader-kode til hukommelsen og hooker BIOS-afbrydelser (13h og 15h). Disse hooks sikrer, at Windows-loaderen ikke overskriver den kopierede kode, og at OS-loaderen bliver patchet, mens den indlæses fra disken. Ligesom med UEFI-infektionen skaber den sidste hook en tråd i kernen, der injicerer den næste fase i `winlogon.exe`. Processen for 32-bit systemer er mere kompleks og involverer flere trin for at undgå sikkerhedsløsninger, men målet er det samme: at opnå dyb systemadgang.

    Bruger-Mode Infektion: Den Komplekse Tilgang

    Denne infektionstype er den mest avancerede og involverer flere trin:

    1. Download og Udførelse: Brugeren downloader og udfører en inficeret applikation.
    2. Pre-Validator: Applikationen kontakter en kommandoserver (C2) og downloader en ikke-persistent komponent kaldet 'Pre-Validator'. Denne komponent udfører en række sikkerhedstjek for at sikre, at maskinen ikke tilhører en sikkerhedsforsker eller kører i et virtuelt miljø. Den indsamler information som procesnavne, systeminformation og brugerprofiler.
    3. Post-Validator: Hvis alle sikkerhedstjek passerer, downloader Pre-Validator 'Post-Validator' – en persistent implantat. Post-Validator indsamler yderligere oplysninger for at bekræfte, at offeret er det tilsigtede mål.
    4. Fuldt Trojan Platform: Kun hvis Post-Validator bekræfter målet, vil C2-serveren kommandere udrulningen af den fulde FinSpy Trojan-platform.

    Denne lagdelte tilgang med anti-analyse og målrettet udrulning gør FinSpy ekstremt vanskelig at opdage og analysere for sikkerhedsforskere.

    Does Kaspersky detect FinSpy?
    Kaspersky has been tracking deployments of this spyware since 2011. Historically, its Windows implant was distributed through a single-stage installer. This version was detected and researched several times up to 2018. Since that year, we observed a decreasing detection rate of FinSpy for Windows.

    FinSpy på macOS og Linux

    FinSpy er ikke begrænset til Windows. Versioner til macOS og Linux deler mange komponenter og avancerede teknikker med Windows-versionen:

    macOS Infektion:

    FinSpy til macOS er skrevet i Objective-C og beskyttet med en obfuscator. Infektionsprocessen involverer en installer, der dropper filer i systemmapper som `/Library/Frameworks/Storage.framework` og bruger launch agents (`/private/etc/logind` og `/Library/LaunchAgents/logind.plist`) for at opnå persistence. Den indlæser en Orchestrator, der styrer plugins og kommunikation med C2-serveren.

    Linux Infektion:

    Linux-versionen er ligeledes beskyttet med obfuscation. Infektionsvektorerne er mindre kendte, men fysisk adgang er sandsynlig. Den starter med et shell script, der identificerer systemarkitekturen og udtrækker en anden-fase installer. Denne installer tjekker for virtuelle maskiner og dropper derefter trojanen i et skjult arbejdsbibliotek. Persistence opnås ved at kopiere scripts til Autostart-mapper eller tilføje dem til `~/.profile`.

    Can FinSpy be installed on mobile devices?

    Komponenterne i FinSpy Trojanen

    Uanset platformen består FinSpy typisk af flere kernkomponenter:

    • Installer: Håndterer den indledende infektion og installation.
    • Initial Loader/Trojan Loader: Sikrer, at malwaren indlæses ved systemstart og starter de primære moduler. Dette kan involvere komplekse injektionsteknikker for at undgå detektion.
    • Hider: En komponent, der skjuler malwarens kode og data i hukommelsen ved hjælp af hukommelsesbeskyttelsesmekanismer og undtagelseshåndtering.
    • Orchestrator: Hjernen bag operationen. Den styrer alle plugins, håndterer kommunikationen med C2-serveren, indsamler og forbereder data til eksfiltrering og vedligeholder persistence.
    • Plugins: Moduler, der udfører specifikke ondsindede handlinger, såsom keylogging, skærmoptagelse, mikrofonoptagelse, filstjæleri og meget mere. Listen over plugins er imponerende lang og dækker næsten alle tænkelige overvågningsfunktioner.
    • Virtual File System (VFS): En mekanisme, der tillader Orchestrator og plugins at interagere med deres kode og konfigurationsfiler, som er gemt i en krypteret filstruktur.
    • ProcessWorm: En komponent, der injiceres i alle kørende processer for at indsamle yderligere information og potentielt skjule malwarens tilstedeværelse.

    Hvordan Beskytter Man Sig Mod FinSpy?

    At beskytte sig mod statslig spionsoftware som FinSpy er en udfordring, men der er flere forholdsregler, man kan tage:

    Generelle Sikkerhedsanbefalinger:

    • Download fra Pålidelige Kilder: Download altid software og apps fra officielle og troværdige hjemmesider. Undgå tredjeparts download-sider.
    • Regelmæssige Opdateringer: Hold dit operativsystem, browsere og al anden software opdateret. Sikkerhedsopdateringer lukker ofte kendte sårbarheder, som malware kan udnytte.
    • Vær Skeptisk over for E-mails: Åbn aldrig vedhæftede filer eller klik på links i e-mails fra ukendte afsendere, eller hvis indholdet virker mistænkeligt. Tjek altid afsenderen og linkets destination, før du interagerer.
    • Brug Stærk Sikkerhedssoftware: Installer en anerkendt antivirus- og antimalware-løsning på alle dine enheder, inklusive smartphones. Sørg for, at den altid er opdateret.
    • Undgå Ukendte Kilder til Software: Installer aldrig software fra ukendte eller mistænkelige kilder, da disse ofte indeholder skjult malware.
    • Fysisk Sikkerhed: Vær opmærksom på, hvem der har fysisk adgang til dine enheder. Lås altid dine enheder med en stærk adgangskode eller biometri.

    For Organisationer:

    • Politik for Softwarebrug: Implementer en klar politik for brug af tredjeparts software og uddan medarbejdere om risiciene.
    • Cybersikkerhedstræning: Sørg for regelmæssig træning af medarbejdere i grundlæggende cybersikkerhedspraksis, herunder genkendelse af phishing og social engineering.
    • Avancerede Sikkerhedsløsninger: Implementer løsninger som APT-detektion (Advanced Persistent Threat) og EDR (Endpoint Detection and Response) for proaktivt at opdage og reagere på avancerede trusler.
    • Threat Intelligence: Udnyt trusselsintelligens for at holde dig ajour med de nyeste metoder og indikatorer på kompromittering (IoCs).

    Konklusion

    FinSpy repræsenterer en af de mest avancerede og vedholdende spionsoftware, der er udviklet. Dens evne til at operere på tværs af platforme, dens sofistikerede infektionsmetoder, herunder bootkits, og dens omfattende anti-analyse-foranstaltninger gør den til en formidabel trussel. Mens FinSpy primært er rettet mod regeringer og retshåndhævelse, er det vigtigt for alle brugere at være opmærksomme på dens eksistens og tage de nødvendige forholdsregler for at beskytte deres digitale liv. Ved at følge bedste praksis inden for cybersikkerhed kan man markant reducere risikoen for at blive offer for denne dybtgående overvågningsteknologi.

    Ofte Stillede Spørgsmål om FinSpy:

    Kan FinSpy installeres på mobile enheder?
    Ja, FinSpy findes i versioner til både Android og iOS, hvor det kan indsamle en bred vifte af data om brugerens aktiviteter.
    Hvordan spredes FinSpy typisk?
    FinSpy kan spredes gennem inficerede software-installationspakker, links i SMS-beskeder, og i mere avancerede tilfælde via UEFI- eller MBR-bootkits, der inficerer systemet på et meget lavt niveau.
    Hvilke typer data kan FinSpy stjæle?
    FinSpy kan stjæle næsten alt: tastetryk, mikrofon- og kameraoptagelser, filer, e-mails, browserhistorik, chatbeskeder, kontakter, GPS-data og meget mere, afhængigt af den inficerede platform og de installerede plugins.
    Er FinSpy svært at opdage?
    Ja, FinSpy er designet til at være yderst vanskelig at opdage og analysere. Det anvender avancerede obfuscationsteknikker, anti-analyse-foranstaltninger og stealth-metoder for at undgå detektion af sikkerhedssoftware og forskere.
    Hvordan kan jeg beskytte mig mod FinSpy?
    Beskyttelse involverer at downloade software fra pålidelige kilder, holde systemer opdateret, være forsigtig med e-mails og links, og bruge en stærk sikkerhedsløsning. For organisationer er medarbejdertræning og avancerede sikkerhedsværktøjer afgørende.

    Hvis du vil læse andre artikler, der ligner FinSpy: Den dybdegående guide til spyware, kan du besøge kategorien Teknologi.

    Go up