Alfonso Maruccia

FinFisher, spyware diffuso a mezzo ISP

Individuata una nuova campagna di distribuzione del famigerato spyware commerciale, e questa volta a essere coinvolti sarebbero direttamente gli ISP di alcuni Paesi - una collaborazione volontaria o forse no.

Roma - I ricercatori di ESET si sono imbattuti in una nuova ondata di infezioni a opera di FinFhisher, spyware commerciale realizzato da Gamma Group anche noto come FinSpy, e questa volta il pericolo sembra arrivare direttamente dagli Internet provider. Gli ISP sarebbero insomma colpevoli di una campagna di spionaggio a danno degli utenti di alcuni Paesi ben precisi, e al momento non si sa se si tratti di una collaborazione volontaria o sia piuttosto un'azione imposta dalle autorità.

I provider si stanno comportando come dei veri e propri dispensatori di spyware, accusa ESET che però non fa nomi per evitare "rischi", agendo con tecniche tipiche degli attacchi Man-in-the-Middle (MitM) e abusando dei download di software legittimo eseguiti dagli utenti.


La campagna prevede infatti una re-direzione temporanea della connessione HTTP (errore 307) verso release "alternative" di pacchetti software e app molto popolari come WhatsApp, Skype, Avast, WinRAR, VLC media player e altri. Ignaro di tutto, l'utente scarica la variante del software "armata" con lo spyware finendo così per infettare il PC.
Le funzionalità di FinFisher/FinSpy sono quelle già note da tempo, vale a dire la possibilità di registrare conversazioni e video, catturare screenshot, carpire file locali da inviare ai server remoti e molto altro ancora. Gamma Group è notoria per condurre affari con le autorità dei Paesi "democratici", ma anche per aver venduto il suo potente spyware (che da tempo viene classificato come malware dai software antivirali) a dittatori e governi molto meno democratici in giro per il mondo.


Stando ai documenti forniti da Wikileaks, una delle offerte commerciali di Gamma Group include una variante di FinFisher in grado di funzionare a livello di ISP. L'attacco di cui parla ESET è quindi molto più concreto di una semplice ipotesi, anche considerando il fatto che il numero di link malevoli è talmente esteso, riguarda talmente tante applicazioni e una zona geografica tanto vasta, da non poter essere altro che un'operazione gestita dai provider di rete.

Alfonso Maruccia

Fonte immagini: 1, 2
Notizie collegate
  • AttualitàCittadino USA intercettato dall'Etiopia?La denuncia, formulata sotto pseudonimo per questioni di privacy, Ŕ stata depositata con l'ausilio di EFF in un tribunale di Washington. Il governo africano attuerebbe lo spionaggio indiscriminato degli oppositori politici
  • AttualitàMicrosoft e le patch di settembreRedmond distribuisce la solita gragnola di aggiornamenti di sicurezza per Windows, Edge, IE e compagnia, update che a settembre riguardano alcune vulnerabilitÓ 0-day molto pericolose. E una falla su Bluetooth giÓ corretta a luglio
5 Commenti alla Notizia FinFisher, spyware diffuso a mezzo ISP
Ordina
  • Blockchain con le checksum di tutti i prodotti quando vengono pubblicati.

    Come per i bitcoin: ogni Software House ha il suo indirizzo, noto a tutti. Quando fa una release pubblica, per ogni versione dei suoi prodotti, le checksum.

    Quindi io che sto installando qualcosa, vado a vedere le transazioni dell'indirizzo della Software House e trovo la checksum giusta.

    Da lì posso sapere se il software è contraffatto.

    L'ISP truffaldino non può farci nulla perché la blockchain è sparsa per la rete.
    non+autenticato
  • - Scritto da: xx tt
    > Blockchain con le checksum di tutti i prodotti
    > quando vengono pubblicati.

    Il problema secondo me va oltre il semplice malware iniettato via http: il problema è l'iniezione stessa, che una volta era fattibile su vasta scala solo con DNS poisoning e che invece ora è fattibile a livello di singolo URL http.

    L'unica soluzione è usare https come unico protocollo web (anche per i download), unito magari alla disabilitazione dei caratteri omografi negli url.

    La tua idea non è male perché protegge anche dalla compromissione del web server che hosta il download, ma non è fattibile per proteggere ogni singola pagina html: forse l'unione dei due strumenti e l'applicazione del DNSSEC può essere la soluzione...
    non+autenticato
  • Se scarichiamo un file da un sito che riporta il checksum,pgp o altro, il problema non è solo spostato?
    L'ISP serve una pagina farlocca con il suo binario troianizzato da scaricare e il suo checksum.
    non+autenticato
  • ovvio

    ma se l'attacco avviene come descritto, cioe' tramite l'uso di redirect 307, basta una semplice estensione del browser per scoprire il trucco e avvisare l'utente

    comunque e' ora che si comincino ad usare cose come dnscrypt, che rende impossibile pure il dns poisoning e ovviamente crittografia end-to-end a manetta per spezzare definitivamente le gambe al mitm
    non+autenticato