至少两个国家运营商参与了FinFisher间谍软件的传播
ESET 的安全研究人员在对FInFIsher (FInSpy)间谍软件的传播情况进行分析之后,发现至少有两个国家的互联网服务提供商(ISP)参与了该恶意软件的传播活动。
互联网服务提供商可能会控制用户的流量,用户下载某些软件的链接也可能会重定向到 FInFIsher 。目前,受影响的软件包括WhatsApp,Skype,Avast,WinRAR,VLC Player等产品。
ISP 在这些国家进行的网络干预,解释成“保护用户网络安全”真的很牵强。
ISP 可能参与了 FInSpy 的恶意传播
这种第三方干预用户 web 流量并偷换内容的攻击称为中间人攻击(MitM)。
根据研究人员得出的结论,这些 ISP 正在进行中间人攻击,因为近期检测到的 FInFisher 间谍软件的传播情况,在地理分布上显示的非常广泛,而且用户也不太可能是通过本地网络(wifi 热点)遭到中间人攻击。
能够同时改变这么多的应用程序下载链接,并且地理分布上又这么广泛,唯一的可能性就是 ISP 也参与了中间人攻击。维基解密泄露的文件还表示,FinFisher 背后的公司还提供了可以直接安装在 ISP上面的安装包。
该安装包中发现了 HTTP 协议中的 307 Temporary Redirect 状态码,这与研究人员发现 ISP 偷换下载链接使用的是相同的技术。
HTTP 307在维基百科上的解释:
307 Temporary Redirect 是HTTP协议中的一个状态码(Status Code)。可以理解为一个临时的重定向。
但该响应代码与302重定向有所区别的地方在于,收到307响应码后,客户端应保持请求方法不变向新的地址发出请求。
另外,两个国家中受影响的用户都是来源于相同的互联网内容提供商,是互联网内容提供者本身存在内鬼,还是与 FInFisher 攻击者存在合作,现在还不清楚。
除此之外,还发现了其他的 FinFisher 传播事件
FInFisher 是一款强大的监控软件,其背后的 Gamma Group 公司专门为执法、政府机构提供监控技术支持。FInFisher 拥有监控软件的大部分功能,比如会话记录,截屏,视频录制,窃取文件等。
除了协助执法部门进行调查之外,还有证据表明,FInFisher 被卖给独裁政体,用来迫害那些持不同政见的人士,记者和批评者。
FInFisher 的传播方式和恶意软件类似,比如通过:0day攻击,钓鱼邮件诈骗,诱导下载,手动安装等。
ESET 表示这是他们第一次发现 FInFisher 在 ISP 上进行传播,而且除了这两个国家之外,还有另外5个国家也存在类似的恶意软件传播方式。
本月初,FireEye 还公布了一个 Office CVE-2017-8759 漏洞,该漏洞可以用来传播 FinFisher ,并且在当时是一个 0day漏洞,针对的是俄语用户。
*参考来源:bleepingcomputer ,FB小编 Liki 编译,转载请注明来自FreeBuf.COM
活动预告
-
6月
【火热报名中】Web漏洞挖掘“奇淫技巧”总结已结束 -
5月 上海
【已结束】2018威胁情报&APT攻击技术与趋势高峰论坛已结束 -
5月
FreeBuf APT &威胁情报征文大赛已结束 -
5月 北京
【已结束】FreeTalk2018北京站已结束
已有 1 条评论
划重点:针对的是俄语用户