FinFisher: un Malware "legal" que está siendo utilizado por cuerpos gubernamentales para espiar remotamente a usuarios bajo sospecha

---

FinFisher es un controvertido software de la firma británica Gamma

International utilizado para espiar y monitorizar remotamente a

cualquier usuario o institución que se necesite y que al parecer está

siendo utilizada por cuerpos gubernamentales con fines inciertos.



Objetivos



Existe una amplia información de tipo comercial filtrada sobre el

producto a través de Wikileaks, pero públicamente no se ha hecho anuncio

ni se conoce su manera exacta de distribución o capacidades técnicas

reales. Aunque se comercializa a través de la compañía Gamma Group, esta

alega que no sabe si ese software detectado es realmente el suyo, o ha

sido modificado de alguna manera. Admite que es utilizado por los

gobiernos para espiar pedófilos, terroristas o al crimen organizado,

pero niega ciertos comportamientos detectados en las muestras que han

salido a la luz.



Vídeo promocional filtrado:

http://www.youtube.com/watch?v=qc8i7C659FU



La mejor manera de denominar a FinFisher es como una suite de servicios

de malware dedicados al espionaje industrial o gubernamental, ofrecido

de manera "legal" pero no a todo el público. Que se sepa, hay indicios

del uso de esta herramienta desde el año 2011, relacionada sobre todo

con objetivos árabes tales como Egipto, Baréin, Turkmenistan, Etiopía,

Dubái... muy similares a los atacados por otras herramientas "no

legales" como Flame, Stutnet, Duqu o el recientemente descubierto Gauss.



La diferencia, aparte de posibles conjeturas sobre la creación de las

mencionadas herramientas por los gobiernos institucionales de EEUU o

China, es que FinFisher es una software creado en Reino Unido y que

puede ser utilizada por cualquier gobierno o corporación previo pago de

sus servicios. Funciona en el modo "Malware-as-a-service" (MaaS), en el

que no es necesario tener grandes conocimientos ni infraestructuras para

poder manejar los datos recopilados por la herramienta. Las capacidades

y funcionalidades se "alquilan" como si de un servicio se tratara.



Este concepto se ha visto en el mundo del malware desde hace años. Tuvo

su explosión con Zeus en 2006. El malware (además de permitir la

creación del troyano con las características deseadas) permitía definir

usuarios sin privilegios que se conectarían al panel simplemente para

recopilar datos durante un tiempo determinado. En definitiva, estaba

pensado para poder alquilar la botnet durante un tiempo. Con FinFisher,

este concepto se ha profesionalizado.



Características



Técnicamente y según la información disponible, FinFisher proporciona

diferentes módulos encargados de la monitorización y espionaje de

distintas partes del sistema infectado: interceptación de conversaciones

(Skype, Messenger), capturas de pantalla, recolección de datos

introducidos por el usuario, etc.. apuntando todo ello al módulo

denominado 'FinSpy'. Según diferentes fuentes, se distribuiría mediante

técnicas de descarga simulando actualizaciones oficiales de software (se

habla de iTunes en algunos casos) o mediante adjuntos infectados en

emails, utilizando técnicas de enmascaramiento de extensiones (como la

técnica de aprovechar el carácter Unicode "Right to Left").



En Virustotal, se identifican varias muestras como FinSpy.A y FinSpy.B,

con un alto ratio de detección. Por ejemplo esta muestra se subió como

proceso inyectado a Firefox.exe:

https://www.virustotal.com/file/81531ce5a248aead7cda76dd300f303dafe6f1b7a4c953ca4d7a9a27b5cd6cdf/analysis/



Centrándonos en uno de los análisis realizados (por Morgan

Marquis-Boire, ingeniero de seguridad de Google), se confirma que son

utilizadas por los propios gobiernos para el espionaje y control de

diferentes organizaciones, aunque en realidad, cualquiera que se mueva

en los círculos adecuados y haya pagado por este software, podrá

realizar las acciones que considere oportunas sobre quien desee. Se sabe

que se ha intentado infectar a activistas de Baréin.



En nuestro laboratorio hemos podido confirmar que se conecta a la matriz

oficial de Gamma en Alemania

(https://www.gamma-international.de/GGI/Home/index.php) y a un dominio

gratuito de dynDNS (https://ff-demo.blogdns.org/) desde donde ser

realizan funciones de control.



http://2.bp.blogspot.com/-v1knHtbIWJM/UDKIdFYpe9I/AAAAAAAAA1Y/101rrR300bY/s1600/conexiones.png





http://unaaldia.hispasec.com/2012/08/finfisher-un-malware-as-service-de-uso.html