ارائه‌دهندگان سرویس اینترنت احتمالا در عملیات نظارتی FinFisher شرکت داشته‌اند

محققان امنیتی ای‌ست هشدار می‌دهند که پویش‌های جدیدی که دارای جاسوس‌افزار FinFisher هستند، از یک آلودگی ناشناخته استفاده می‌کنند که به شدت نشان می‌دهد که ممکن است ارائه‌دهندگان خدمات اینترنتی در فرآیند توزیع این جاسوس‌افزار دخیل باشند. این بدافزار بیش از نیم دهه بوده است و به‌طور انحصاری به دولت‌ها و سازمان‌های آن‌ها در سراسر جهان برای اهداف نظارتی فروخته می‌شود. استفاده از این راه‌حل جلوگیری قانونی افزایش یافته است و محققان در اوایل ماه جاری سوءاستفاده از یک آسیب‌پذیری روز-صفرم چارچوب دات‌نت را که با شناسه‌ی «CVE-2017-8759» ردگیری می‌شود و برای توزیع بدافزار مورد استفاده قرار می‌گرفت، را مشاهده کردند.

 

این ابزار با توانایی‌های جاسوسی گسترده، از جمله نظارت زنده از طریق وب‌کم و میکروفون، کی‌لاگر و فشرده کردن پرونده‌ها طراحی شده است. با این حال، برخلاف سایر برنامه‌های نظارتی، FinFisher به عنوان یک ابزار اجرای قانون به فروش می‌رسد. همچنین اعتقاد بر این است که توسط رژیم‌های دیکتاتور مورد استفاده قرار گرفته است. شرکت ای‌ست می‌گوید، حملات اخیر، یک سری از پیشرفت‌های فنی را نشان می‌دهد و در ۷ کشور مشاهده شده است. این پویش‌ها استفاده از یک حمله‌ی مرد میانی برای توزیع را آشکار کردند و ای‌ست معتقد است که حمله‌ی مرد میانی احتمالا در سطح ارائه‌دهنده‌ی خدمات اینترنت عمل می‌کند.

 

از لحاظ تاریخی، پویش‌های FinFisher از طرز کارهای آلودگی مانند فیشینگ، نصب دستی زمانی‌که به دستگاه‌ها دسترسی فیزیکی داشتند، بهره‌برداری روز-صفرم و حملات به اصطلاح واترهلینگ استفاده می‌کردند. به هرحال، بردار حمله‌ی جدید تنها در دو کشور ملاحظه شده است، جایی که آخرین نسخه‌های جاسوس‌افزار FinFisher مشاهده شد. محققان امنیتی می‌گویند: «هنگامی که یک کاربر تحت نظارت قرار دارد، اقدام به بارگیری یک برنامه قانونی می‌کند، آن‌ها او را به سمت نسخه‌ای از آن برنامه هدایت می‌کنند که آلوده به جاسوس‌افزار FinFisher است. طبق مشاهدات ما برنامه‌هایی که برای گسترش جاسوس‌افزار FinFisher مورد سوءاستفاده قرار می‌گیرند، واتس‌اپ، اسکایپ، اوست، وین‌رار، VLC پلیر و بعضی دیگر هستند.»  

 

شرکت ای‌ست می گوید، با توجه به این‌که حمله با جستجوی کاربر برای برنامه‌ی آلوده در اینترنت آغاز می‌شود، تقریبا هر برنامه‌ای می‌تواند به این نحو مورد سوءاستفاده قرار بگیرد. به هر حال، هنگامی‌که کاربر بر روی پیوند بارگیری کلیک می‌کند، مرورگر یک پیوند تغییر داده شده را در اختیارش قرار می‌دهد و به این ترتیب به سمت یک بسته‌ی تروجان که در وب‌گاه مهاجم قرار دارد، هدایت می‌شود. بنابراین، هر دو برنامه قانونی و جاسوس‌افزار FinFisher جاسازی‌شده کنار این برنامه‌ی قانونی، نصب می‌شوند. محققان می‌گویند، این تغییر مسیر از طریق جایگزینی یک پیوند بارگیری قانونی با یک پیوند مخرب انجام می‌شود، که آن با یک کد واکنش وضعیت تغییر مسیر موقت HTTP 307 به مرورگر تحویل داده می‌شود، و این نشان می‌دهد که محتوای درخواست به‌طور موقت به یک URL جدید انتقال داده می‌شود. محققان خاطر نشان می‌کنند که فرایند تغییر مسیر، بدون اطلاع کاربر انجام می‌شود.

 

 این بدافزار همچنین به عنوان یک پرونده‌ی اجرایی با نام تریما شناخته می‌شود، یک پرونده که می‌تواند برای هدف قرار دادن کاربران علاقه‌مند به حریم خصوصی مورد استفاده قرار گیرد، با توجه به این‌که برنامه قانونی تریما پیام‌های فوری امن با رمزنگاری انتها به انتها ارائه می‌دهد. ای‌ست همچنین یک پرونده‌ی نصب TrueCrypt را که با جاسوس‌افزار فین‌فیشر تروجان شده بود را کشف کرد. محققان می‌گویند، مهاجمانی که حملات مرد میانی را انجام می‌دهند می‌توانند در موقعیت‌های مختلف بین رایانه و کارگزار قرار گیرند، پراکندگی جغرافیایی این بازرسی‌ها نشان می‌دهد که حملات در سطح بالایی اتفاق می‌افتند و یک ارائه‌دهنده‌ی خدمات اینترنتی به عنوان گزینه احتمالی ظاهر می‌شود.

 

در حمایت از این فرض، این واقعیت وجود دارد که اسنادی از شرکت انگلیسی گروپ گاما که فین‌فیشر اولیه را فروخت، فاش شده است که یک راه‌حل که «FinFly ISP» نامیده می‌شود را آشکار می‌کند که در شبکه‌های ارائه‌دهنده‌ی خدمات اینترنتی توسعه یافته است. این ابزار دارای قابلیت‌هایی نظیر موارد مورد نیاز برای انجام حمله‌ی مرد میانی بوده است. همچنین، تغییر مسیر HTTP 307 مورد استفاده، به شیوه‌ی مشابه‌ای در هر دو کشور اجرا شده، به این معنی که توسط یک منبع توسعه یافته و ارائه شده است. علاوه بر این، تمام اهداف آسیب‌دیده در یک کشور، از ارائه‌دهنده‌ی خدمات اینترنتی یکسان استفاده می‌کردند، و همان روش تغییر مسیر و قالب توسط ارائه‌دهنده‌گان خدمات اینترنتی برای مسدود کردن محتوای اینترنت در حداقل یکی از کشورهای آسیب دیده مورد استفاده قرار گرفته است. ای‌ست نتیجه گرفت: «گسترش شیوه‌ی حمله‌ی مرد میانی در سطح ارائه‌دهنده‌ی خدمات اینترنتی که در اسناد فاش‌شده ، ذکر شده، تا به حال هرگز نشان داده نشده است. اگر تأیید شود، این پویش‌های FinFisher نشان‌دهنده‌ی یک پروژه نظارت پیچیده و باثبات بی‌سابقه در ترکیب روش‌ها است.»

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید