Dal 2011 Kaspersky sta monitorando FinFisher, strumento di sorveglianza in grado di raccogliere varie credenziali, directory, file cancellati, così come vari documenti, livestreaming o registrazione di dati e ottenere l’accesso a webcam e microfoni. Successivamente le soluzioni di Kaspersky hanno rilevato installer sospetti di applicazioni legittime (ad esempio TeamViewer, VLC e WinRAR) che contenevano un codice dannoso che non corrispondeva a nessun malware noto.
È stato poi individuato un sito web in lingua birmana contenente gli installer infetti e i sample di FinFisher per Android, che hanno consentito ai ricercatori di capire che erano stati infettati con lo stesso spyware. Questa scoperta ha poi spinto i ricercatori di Kaspersky ad indagare ulteriormente su FinFisher.
A differenza delle versioni precedenti dello spyware, che contenevano il Trojan nell’applicazione infetta, i nuovi sample erano protetti da un Pre-Validator e un Post-Validator. Il Pre-Validator eseguiva diversi controlli di sicurezza per assicurarsi che il dispositivo da infettare non appartenesse ad un ricercatore di sicurezza, dopodichè il server eseguiva il Post-Validator che si accertava di aver infettato la vittima prescelta. Infine il server ordina la distribuzione della piattaforma Trojan completa.
I ricercatori hanno anche scoperto un campione di FinFisher che ha sostituito il bootloader UEFI di Windows – un componente che lancia il sistema operativo dopo l’avvio del firmware – con uno dannoso, permettendo ai criminali informatici di installare un bootkit senza la necessità di bypassare i controlli di sicurezza del firmware. Il modulo dannoso, inoltre, era stato installato su una partizione separata ed era in grado di controllare il processo di avvio del dispositivo infetto.
Igor Kuznetsov, principal security researcher del Global Research and Analysis Team di Kaspersky (GReAT), ha commentato: “Il lavoro che è stato fatto per rendere FinFisher inaccessibile ai ricercatori di sicurezza è davvero preoccupante e piuttosto impressionante. Gli sviluppatori hanno lavorato non solo al Trojan stesso, ma anche alla creazione di pesanti misure di offuscamento e anti-analisi per proteggerlo. Di conseguenza, questo spyware è particolarmente difficile da tracciare e rilevare grazie alle sue capacità di eludere qualsiasi indagine e analisi. Il fatto che questo malware venga distribuito con estrema precisione e sia praticamente impossibile da rilevare significa anche che le sue vittime sono particolarmente vulnerabili. Questo costituisce anche una grande sfida per i ricercatori: serve investire una quantità enorme di risorse per districare ogni singolo sample. Credo che minacce complesse come FinFisher dimostrino quanto sia importante la cooperazione e lo scambio di conoscenze tra i ricercatori di sicurezza, nonché l’investimento in nuovi tipi di soluzioni di sicurezza in grado di contrastare queste minacce.”
.
Per proteggersi da minacce come FinFisher, Kaspersky consiglia di:
• Scaricare applicazioni e programmi solo da siti web affidabili.
• Aggiornare regolarmente i propri sistemi operativi e software. Molti problemi di sicurezza possono essere risolti installando le versioni aggiornate.
• Prestare attenzione agli allegati delle email. Prima di aprire un file o cliccare su un link, verificare che si tratti di un file atteso, sicuro e che arrivi da persone fidate.
• Non installare software provenienti da fonti sconosciute, in quanto possono contenere file dannosi.
• Utilizzare una soluzione di sicurezza affidabile su tutti i computer e dispositivi mobili, come Kaspersky Internet Security for Android o Kaspersky Total Security.
Per la protezione aziendale, Kaspersky suggerisce di:
• Mettere in atto politiche per l’utilizzo di software non aziendali. Informare i dipendenti sui rischi del download di applicazioni non autorizzate e provenienti da fonti non attendibili.
• Fornire al personale una formazione di base sulla sicurezza informatica, in quanto molti attacchi mirati iniziano con phishing o altre tecniche di ingegneria sociale.
• Installare soluzioni anti-APT ed EDR per rilevare le minacce, analizzarle e risolvere tempestivamente gli incidenti. Fornire al team SOC l’accesso alle informazioni più recenti sulle minacce informatiche, e fare aggiornamenti regolari attraverso una formazione professionale. Tutto ciò è disponibile all’interno del framework Kaspersky Expert Security.
• Insieme a un’adeguata protezione degli endpoint, i servizi dedicati possono aiutare contro gli attacchi di alto profilo. Il servizio Kaspersky Managed Detection and Response aiuta ad identificare e bloccare gli attacchi sin dalle fasi iniziali, prima che i criminali raggiungano i loro obiettivi.
