Amnesty International FinSpy FinFisher macOS Linux шпионаж
Вредоносы обладают сложной модульной структурой.
Правозащитная организация Amnesty International вывила новые версии известной шпионской программы FinSpy производства немецкой компании FinFisher, предназначенные для устройств на базе macOS и Linux. Хотя представители FinFisher заверяют, что технология слежения FinSpy предназначена исключительно для правоохранительных органов, в последние несколько лет продукт неоднократно фигурировал в сообщениях о слежке авторитарных правительств за своими оппонентами, в частности, диссидентами, журналистами и активистами. Подобные кампании наблюдались в Бахрейне, Египте, Эфиопии, Турции, ОАЭ и пр.
Полнофункциональная программа FinSpy предназначена для перехвата сообщений, записи видео и аудио с компьютеров и мобильных устройств, а также кражи частной информации.
В рамках изучения одной из кампаний хакерской группировки NilePhish специалисты Amnesty International обнаружили ранее неизвестные варианты FinSpy для Linux и macOS, а также инфраструктуру для распространения Windows-варианта шпионской программы, замаскированного по Adobe Flash Player.
Образцы, созданные в период между апрелем и ноябрем 2019 года, хранились на сервере, не связанном с NilePhish и, скорее всего, принадлежащим другому оператору шпионского ПО. Как отмечается, macOS-вариант обладает сложной модульной архитектурой и способен получать доступ с правами суперпользователя с помощью ряда эксплоитов. Вредонос содержит ряд модулей, отвечающих за соединение с управляющим сервером, исполнение команд, учет файлов, записи видео и аудио, создание снимков экрана, записи нажатий клавиш (в том числе с виртуальной клавиатуры) хищения электронных писем и прочих действий. Взаимодействие с управляющим сервером осуществляется через HTTP POST запросы.
Как полагают специалисты, данный вариант разрабатывался еще с 2013 года, однако начал использоваться только в ноябре 2019 года. Что касается варианта для Linux, функционально он схож с версией для macOS, но слегка отличается в плане метода запуска и цепочки заражения. AI обнаружила несколько образцов для Linux, один из них был загружен на VirusTotal в 2014 году. Также организация выявила версию FinSpy для Windows, распространяемую под видом программного обеспечения WinRAR. Судя по датам, эта версия была скомпилирована в период между апрелем и сентябрем 2019 года.
Источник: