Iklan IT
Kamis, 09 Agustus 2012
Cyber-Spy Trojan yang dikenal sebagai FinFisher ada di Tengah aktivis pro-demokrasi Timur
Akhir bulan Juli aktivis pro-demokrasi, peneliti keamanan dan jurnalis dari Bloomberg News bekerja sama untuk mengungkap rincian tentang sepotong misterius dari malware yang dikenal sebagai FinFisher, yang terbukti menjadi spyware yang dibuat oleh perusahaan Inggris Gamma Internasional dan dijual kepada klien pemerintah.
Bekerja dari executable yang dihadapi oleh aktivis pro-demokrasi, ilmuwan komputer dan peneliti di University of Citizen Lab Toronto membalikkan bagian rekayasa perangkat lunak dan menemukan tanda-tanda telltales yang menghubungkan ke perusahaan Inggris.
Lainnya mengambil penyelidikan dan menemukan bahwa penggunaan FinFisher jauh melampaui memata-matai aktivis Bahrain. Pada 8 Agustus, peneliti dari perusahaan keamanan Rapid7 diterbitkan analisis sendiri dari perangkat lunak, menemukan bahwa server di 10 negara, termasuk Amerika Serikat, Australia dan Indonesia, menunjukkan tanda-tanda hosting software yang dibutuhkan untuk mengelola sistem dikompromikan dengan Trojan spionase .
Rapid7 peneliti keamanan Claudio Guarnieri menggunakan sistem yang diciptakan oleh HD Moore, petugas keamanan kepala perusahaan, untuk memanggil scan sejarah petak besar internet dan mencari mereka. Dengan mencari pada string tertentu dalam respon server ', Guarnieri menemukan 11 server tambahan di sepuluh negara yang menunjukkan tanda-tanda menjadi server pusat untuk jaringan spionase. "Kami pada dasarnya beruntung, karena menjalankan proyek itu, ia mengumpulkan data yang sama bahwa kami perlu untuk sidik jari server," kata Guarnieri. "Kami hanya mencari pola yang diidentifikasi."
Rapid7 menemukan server di Australia, Republik Ceko, Estonia, Ethiopia, Indonesia, Latvia, Mongolia, Qatar, Uni Emirat Arab, dan Amerika Serikat. Dalam analisis, perusahaan menekankan bahwa lokasi server tidak berarti bahwa bangsa tertentu terlibat. Hampir semua server yang terletak di jaringan penyedia layanan Internet komersial hosting.
Analisis ini tidak akan mungkin terjadi kecuali dua faktor: Sebagai bagian dari proyek yang sedang berlangsung, Rapid 7 telah mulai pemindaian Internet dan pengembang FinFisher membuat kesalahan penting: Ketika server menjalankan software perintah-dan-kontrol yang tidak sah mengalami permintaan, akan mengirim kembali respon-unik "Hallo Steffi"-dengan sumber permintaan tersebut.
Karena sistem Rapid7 pemindaian, yang dikenal sebagai Critical.io, mencatat tanggapan dengan port scan, itu berisi catatan sejarah keberadaan server FinFisher di Internet, bahkan setelah komputer ditambal untuk menghilangkan string unik.
Pada saat Guarnieri berlari scan, server hidup di Internet tidak lagi menanggapi dengan cara yang sama. Tanpa arsip sejarah, luasnya jaringan spionase tidak akan diketahui. "Setelah penerbitan artikel itu, kami secara aktif melihat orang-orang (pengendali) menonaktifkan respon yang kami digunakan untuk sidik jari," katanya. "Saya tidak begitu yakin bahwa kami akan dapat menemukan server lagi."
Sedikit yang diketahui tentang spyware FinFisher kecuali untuk daftar fitur dibocorkan oleh Privacy International dan lain-lain, termasuk ia melewati sistem antivirus melakukan pemantauan Skype penuh, tinggal pengawasan melalui Webcam dan mikrofon, dan ekstraksi diam file. FinFisher dapat menginfeksi Windows, Mac dan sistem Linux. Deskripsi perusahaan sendiri dari software ini kurang lengkap. "Monitoring dan Penyebaran Jauh Solusi digunakan untuk mengakses Sistem target untuk memberikan akses penuh terhadap informasi yang tersimpan dengan kemampuan untuk mengendalikan fungsi sasaran sistem 'untuk titik menangkap data dienkripsi dan komunikasi," menyatakan situs perusahaan.
Daftar fitur ini mirip dengan Trojan banyak dikembangkan dan digunakan oleh penjahat dan dijual secara terbuka di Internet. Contoh perangkat lunak dianalisis oleh para peneliti ditangkap dari yang ditargetkan pesan e-mail yang dikirim oleh penyerang tak dikenal yang mencoba untuk menginfeksi sistem Bahrain aktivis pro-demokrasi. Sebaliknya para aktivis diteruskan e-mail ke kontak di Bloomberg, yang dihubungi peneliti keamanan, termasuk yang di CitizenLabs. Sampel diambil tanda tangan cocok diambil dari versi demo yang jelas dari perangkat lunak yang ditemukan di Internet, yang berkomunikasi dengan server Gamma International.
Langganan:
Posting Komentar (Atom)
Tidak ada komentar:
Posting Komentar