Η Αίγυπτος εξακολουθεί να χρησιμοποιεί το spyware FinFisher για παρακολούθηση δημοσιογράφων, ομάδων κοινωνίας των πολιτών
Ένα εργαλείο λογισμικής κατασκοπείας ( spyware) που ανέπτυξε βρετανογερμανική εταιρεία και το οποίο μπορεί να διεισδύσει σε λειτουργικά συστήματα υπολογιστών, να καταγράφει κάθε πάτημα πλήκτρου, να παρακολουθεί κλήσεις και να κλέβει δεδομένα, εξακολουθεί να χρησιμοποιείται από την Αίγυπτο για να στοχοποιεί δημοσιογράφους και ακτιβιστές, πολλά χρόνια μετά την πρώτη αναγνώρισή του, σύμφωνα με νέα έκθεση της Διεθνούς Αμνηστίας.
Το FinSpy, επίσης γνωστό ως FinFisher, πωλείται ως συσκευή «νόμιμης υποκλοπής» από την βρετανογερμανική εταιρεία. Από την πρώτη στιγμή που έγινε γνωστό στο κοινό κατά την Αραβική Άνοιξη, το FinFisher έχει συνδεθεί με μια σειρά από αυταρχικές και άλλες κυβερνήσεις σε όλο τον κόσμο, οι οποίες το χρησιμοποιούν για να κατασκοπεύουν πολίτες και ομάδες της κοινωνίας των πολιτών.
Το 2014, μια hacktivist ή hacktivst ομάδα γνωστή ως Phineas Phisher κυκλοφόρησε τον πηγαίο κώδικα του FinFisher, καθορίζοντας πληροφορίες και λίστα πελατών στο Διαδίκτυο. Επί του παρόντος, πρώην μη γνωστοποιημένες εκδόσεις της λογισμικής κατασκοπείας FinSpy που έχουν σχεδιαστεί να στοχοποιούν συστήματα Linux και macOS έχουν ανακαλυφθεί σε μια χώρα που εξακολουθεί να είναι πελάτισσα του FinFisher παρά το γεγονός ότι αποτελεί ένα από τα πιο επικίνδυνα περιβάλλοντα για δημοσιογράφους.
Η επίθεση εναντίον των δημοσιογράφων της Αιγύπτου και εκείνων που κατηγορούνται ότι αντιτίθενται στην κυβέρνηση έχει εντατικοποιηθεί κατά τη διάρκεια της πανδημίας COVID-19 με το πρόσχημα της δημόσιας ασφάλειας.
Το FinSpy στοχεύει τα λειτουργικά συστήματα επιτραπέζιων και κινητών συσκευών, συμπεριλαμβανομένων των Android, iOS και Windows, ώστε να ενεργοποιούνται κρυφά οι κάμερες και τα μικρόφωνά τους. Δεν φαίνεται να συνδέεται με το NilePhish, μια ομάδα χάκερ γνωστή για επιθέσεις κατά αιγυπτιακών ΜΚΟ σε μια σειρά εισβολών που αφορούν παλαιότερη έκδοση του FinSpy, τεχνικές ηλεκτρονικού ψαρέματος και κακόβουλες λήψεις του Flash Player, ανέφερε η έκθεση της Διεθνούς Αμνηστίας.
Οι νέες τεχνικές FinSpy πιστεύεται ότι χρησιμοποιούνται από μια νέα ομάδα χάκερ που δεν έχει αναγνωριστεί και που πιστεύεται ότι χρηματοδοτείται από το κράτος και είναι ενεργή από τον Σεπτέμβριο του 2019.
Δείγματα κακόβουλου λογισμικού που αναφορτώθηκαν στο VirusTotal ανακαλύφθηκαν ως μέρος μιας συνεχιζόμενης προσπάθειας της Διεθνούς Αμνηστίας να εντοπίζει και να παρακολουθεί τις δραστηριότητες του NilePhish.
Τα νέα δυαδικά αρχεία αποκρύπτονται και σταματούν κακόβουλες δραστηριότητες όταν εκτελούνται σε εικονική μηχανή, ώστε να αποτελούν πρόκληση για τους ειδικούς να αναλύσουν το κακόβουλο λογισμικό.
Ακόμα κι αν ένα στοχευμένο smartphone δεν είναι ριζωμένο, το λογισμικό κατασκοπείας προσπαθεί να αποκτήσει πρόσβαση ρίζας χρησιμοποιώντας προηγούμενα προγράμματα εκμετάλλευσης ευπάθειας που έχουν αποκαλυφθεί. "Οι διαθέσιμες λειτουργικές μονάδες στο δείγμα Linux είναι σχεδόν ίδιες με το δείγμα MacOS," ανέφεραν οι ερευνητές.
"Οι λειτουργικές μονάδες κρυπτογραφούνται με τον αλγόριθμο AES και συμπιέζονται με τη βιβλιοθήκη συμπίεσης aplib. Το κλειδί AES αποθηκεύεται στο δυαδικό, αλλά το IV αποθηκεύεται σε κάθε αρχείο διαμόρφωσης μαζί με ένα κατακερματισμό MD5 του τελικού αποσυμπιεσμένου αρχείου," πρόσθεσαν.
Οι ερευνητές παρέχουν επίσης δείκτες συμβιβασμού (IoC) για να βοηθήσουν τους ερευνητές να διερευνήσουν περαιτέρω αυτές τις επιθέσεις και οι χρήστες να ελέγχουν εάν τα μηχανήματά τους έχουν παραβιαστεί.
Οι ερευνητές της Kaspersky αποκάλυψαν πέρυσι μια εκστρατεία όπου τα εμφυτεύματα της FinSpy κατασκοπεύουν χρήστες από τη Μιανμάρ, με τη ρωσική εταιρεία υπεράσπισης κυβερνοχώρου να διαπιστώνει ότι το περίφημο FinSpy μπορεί να παρακολουθεί σχεδόν κάθε αλληλεπίδραση σε κινητό τηλέφωνο.
Αυτό περιλαμβάνει κρυπτογραφημένες εφαρμογές όπως το Telegram, το WhatsApp του Facebook, το Skype, το Signal και το BlackBerry Messenger, καθιστώντας τα ανιχνεύσιμα και δίνοντας σε εγκληματίες και σε κυβερνήσεις ένα ισχυρό εργαλείο για την παρακολούθηση μηνυμάτων και τηλεφωνικών κλήσεων των χρηστών.
«Οι προγραμματιστές πίσω από το FinSpy παρακολουθούν συνεχώς τις ενημερώσεις ασφαλείας πλατφόρμας κινητών και τείνουν να αλλάζουν γρήγορα τα κακόβουλα προγράμματα τους, ώστε να αποφευχθεί ο αποκλεισμός της λειτουργίας τους από επιδιορθώσεις,» δήλωσε ο Alexey Firsh, ερευνητής ασφαλείας στην Kaspersky, στο Cyberscoop πέρυσι.
Η Διεθνής Αμνηστία, η οποία τον Μάρτιο του 2019 περιέγραψε επιθέσεις ηλεκτρονικού ψαρέματος κατά των αιγυπτιακών υπερασπιστών ανθρωπίνων δικαιωμάτων, των μέσων μαζικής ενημέρωσης και των ομάδων κοινωνίας των πολιτών, δήλωσε ότι έχει εντείνει τον έλεγχο του τρόπου που χρησιμοποιεί η χώρα το FinSpy.
Ανέφερε ότι το spyware χρησιμοποιείται επίσης στο Μπαχρέιν, στην Αιθιοπία και στα Ηνωμένα Αραβικά Εμιράτα.