已被发现的植入了监控的软件包括 WhatsApp,Skype,Avast,VLC Player 和 WinRAR,但实际上任何应用都可能以这种方式被滥用……如果没有 Wikileaks 我们恐怕永远都蒙在鼓里
网络安全研究人员警告,包括 WhatsApp、Skype 和 VLC Player 在内的流行软件的合法下载,据称在互联网服务提供商(ISP)层面就被骇客攻击,以传播称为“FinFisher”的高级监控软件。
FinFisher 已经出售给全球政府和情报机构,可用于窥探网络摄像头、按键、麦克风和网页浏览。以前由 Wikileaks 公布的文件表明,一个名为“FinFly ISP”的工具可能与此案有关。
数字监控工具由一家名为 Gamma Group 的国际公司兜售,过去曾出售给包括巴林、埃及和阿联酋在内的专制政权(有没有中国不知道)。去年3月,该公司参加了由英国内政部赞助的安全会议。
来自网络安全公司 Eset 的专家称,已经在七个国家发现了新的 FinFisher 变种,其中两个被 ISP 中的“中间人”攻击(MitM)作为目标 —— 间谍软件打包在真正软件的下载中。
该公司称已被发现的软件包括 WhatsApp,Skype,Avast,VLC Player 和 WinRAR,并补充说“实际上任何应用都可能以这种方式被滥用。”
研究发现,当被监视目标正在下载软件时,他们将在不知不觉中被重定向到感染了 FinFisher 的版本。
下载后,该软件将正常安装 - 但 Eset 发现它也将隐蔽地与监控工具捆绑在一起。
隐形感染过程被描述为“肉眼看不见的入侵”。
Avast 的发言人说:“攻击者将始终关注最突出的目标。使用恶意软件包装在合法应用程序的官方安装程序中并不是一个新概念,我们对本报告中提到的 PC 应用程序并不感到惊讶。然而最新消息显示,这似乎发生在更高层次上,我们不知道 ISP 是否与恶意软件分销商合作了,或 ISP 的基础设施是否已被劫持……
最新版本的 FinFisher 被发现了新的定制代码,使其无法被杀毒软件发现,Eset 称之为“战术改进”。它补充说,一些技巧旨在破坏端到端(E2E)加密软件和已知的隐私工具。
“看起来他们决定使用最有效的感染方法,从技术角度来看实际上并不难实现,”Eset 的恶意软件研究员 Filip Kafka 告诉 IBTimes UK 说,“由于我们看到的感染比过去监测到的程度更高了,这证明如今 FinFisher 正在被更广泛地用于监视受影响国家的公民。”
打破加密已成为世界各国政府的主要兴趣,其中许多政府一直在致力于进行大量通信收集。政治家们经常在没有证据的情况下争辩说,加密通讯“妨碍反恐”。
Wikileaks 的一篇关于 FinFly ISP 的文件显示了其在 ISP 级别进行监控的能力。该软件的宣传册上写着:“FinFly ISP 能够修补目标即时下载的文件或为流行软件发送虚假的软件更新。”
它还补充说,它“可以安装在互联网服务提供商的网络上”,并列出了一个用例,显示该软件之前曾由一个未命名的情报机构部署。
Eset 发现,其中一个国家内的所有受影响目标都使用相同的 ISP。
“史无前例的“
“在泄露的文件中提到的 ISP 级 MitM 攻击技术的部署此前从未被揭示过,”研究人员在他们的分析中说。“这些 FinFisher 的活动代表了一个复杂而隐蔽已久的监控项目,其方法和覆盖范围的组合是史无前例的。不知道它已经被隐藏了多久”。
目前尚不清楚谁是这一骇客攻击活动背后的主使者,但 FinFisher 这种间谍软件几乎完全适合政府、警察或情报机构的使用。
这不是第一次在欧洲设有办事处的公司与可疑的商业行为挂钩。2013 年,科技公司 Mozilla 在其软件被冒充成 Firefox 浏览器版本后,发送了一封终止声明。它在一篇博客文章中抱怨说:“我们绝不能使用我们的名字来伪装一家软件公司以隐藏其在线监控工具,这些工具可能 、并且在某些情况下实际上已经被 Gamma 集团用来侵犯用户的人权和在线隐私”。
同年,无国界记者组织在一份年度报告中称 Gamma 集团为“互联网的企业敌人”之一。令人毛骨悚然的侵入性间谍软件也可以通过更传统的方式传播 —— 例如恶意电子邮件附件。
早在 2011 年,英国子公司 Gamma International 就出售了一种伪装成苹果 iTunes 媒体播放器更新的恶意软件木马。
在被修补之前,这个漏洞已经被利用了大约三年!这是安全记者 Brian Krebs 发现的。
Comments