Neue FinFisher-Überwachungskampagnen: Sind Internetanbieter beteiligt?

Neue Überwachungskampagnen bedienen sich am Staatstrojaner FinFisher, einer berüchtigten Spyware, die auch als FinSpy bekannt ist und an Regierungen und deren weltweiten Behörden verkauft wurde. Nun ist die Software in freier Wildbahn aufgetaucht. Neben technischen Verbesserungen, verwenden einige dieser Varianten raffinierte, teilweise unbekannte Angriffsvektoren. Einiges deutet darauf hin, dass auch große Internet Service Provider (ISP) involviert sind.

FinFisher besitzt umfangreiche Spähmöglichkeiten, wie die Live-Überwachung über Webcams und Mikrofone, Keylogging und dem Ausschleusen von Dateien. Was FinFisher von anderen Überwachungstool unterscheidet, sind die Kontroversen über seine Verteilung. Die Software wird als Instrument für Strafverfolgungsbehörden vermarktet, aber vermutlich auch von erpresserischen Regimen eingesetzt.

Neuste FinFisher Varianten entdeckten wir in sieben Ländern. Wir nennen die Namen der Länder nicht, um niemand zu gefährden.

Kompromittierung der Ziele

FinFisher Überwachungskampagnen sind für ihre verschiedenen Kompromittierungsmechanismen bekannt. Dazu zählen Spearphishing, manuelle Installationen durch physischen Zugang zum Gerät, 0-Day-Exploits und sogenannte Watering Hole Kampagnen – hier werden Webseiten nachgebaut, welche die ausgewählten Ziele häufig besuchen oder besuchen könnten. Diese sind allerdings bösartig und kompromittieren das Ziel.

Nun gibt es allerdings eine neue und sehr beunruhigende Tatsache. Es geht um die Verbreitung von FinFisher. Die Angreifer verwenden Man-in-the-middle-Attacken, um die anvisierten Ressourcen zu kompromittieren. Die ESET-Forschungen zum Staatstrojaner ergaben, dass in zwei Ländern die Man-in-the-middle-Attacken auf der Ebene der ISP stattfanden. In den übrigen fünf Ländern beruhen die Angriffe auf traditionellen Angriffswegen.

Wenn ein Nutzer – in unserem Fall das zu überwachende Subjekt – eine ganz legitime Anwendung herunterladen möchte, wird er unbemerkt umgeleitet, sodass ihm eine mit dem FinFisher-Trojaner verbundene Version ausgeliefert wird.

ESET hat Anwendungen wie WhatsApp, Skype, Avast, WinRAR, VLC Player und ein paar andere entdeckt, die über die Umleitung mit dem FinFisher-Trojaner ausgegeben werden. Wir möchten an dieser Stelle betonen, dass praktisch jede Anwendung auf diese Weise missbraucht werden könnte.

Initialisierung des FinFisher-Angriffs

Die Attacke beginnt mit dem Suchen nach einer Anwendung (welche FinFisher kompromittiert anbietet) durch den Nutzer. Nachdem er auf den Download-Button klickt, wird dem Browser ein modifizierter Link ausgegeben. Daraufhin findet die Umleitung zur Version mit dem Trojaner statt, die auf dem Server der Angreifer liegt. Nach dem Download und der Ausführung, wird nicht nur die legitime Anwendung, sondern auch das FinFisher Spyware-Bundle installiert.

Grafik 1: Kompromittierungsmechanismus der neusten FinFisher-Varianten

Die Umleitung wird durch das Austauschen des eigentlichen Download-Links mit dem schädlichen erreicht. Der boshafte Link wird dem Browser des Users über eine temporäre Weiterleitung ausgegeben. Für den Browser bedeutet der HTTP 307 Status Response Code, dass der angeforderte Inhalt temporär einen neuen Uniform Resource Locator zugeordnet ist. Der ganze Umleitungsprozess läuft ohne das Wissen und das Bemerken des Nutzers ab.

Grafik 2: detaillierter Kompromittierungsmechanismus

FinFisher – Unsichtbarkeit höchste Prämisse

Neuste FinFisher Varianten wurden technisch verbessert. Die Entwickler haben den Fokus auf noch bessere Tarnung gelegt. Die Spyware benutzt nun Custom Code Virtualization, um die Mehrheit der eigenen Komponenten zu schützen, wie beispielsweise den Kernel-Mode Driver. Zusätzlich ist der ganze Programmcode mit Disassemblierungstricks ausgestattet. Außerdem ergaben die ESET-Forschungen den Einsatz unzähliger Anti-Sandboxing-, Anti-Debugging-, Anti-Virtualization- und Anti-Emulation-Tricks in der Spyware. All diese Tatsachen erschweren eine Analyse ungemein.

Nachdem wir die erste Hürde des Schutzes überwanden (Anti-Disassembly), wartete bereits das nächste Schutzlevel (Code Virtualization). Der Virtual Machine Dispatcher hat 34 Handler. Der FinFisher-Trojaner wird fast vollständig in einem Interpreter ausgeführt. Das fügt der Spyware eine weitere Schutzschicht hinzu, was einer schnellen Analyse im Wege steht.

Grafik 3: Visualisierung der vielen Virtual Machine Handler

In einem ESET Whitepaper werden wir eine detaillierte technische Analyse der FinFisher-Varianten präsentieren.

End-to-End Verschlüsselung von FinFisher ausgehebelt

Während der ESET-Forschungen wurde ein interessantes Sample entdeckt: Die FinFisher Spyware tarnte sich als ausführbare Anwendung „Threema“. So eine Anwendung zielt besonders auf diejenigen User ab, die sich intensive mit dem Schutz ihrer Privatsphäre auseinandersetzen. Die Threema-Anwendung stellt Usern eigentlich sicheres Instant Messaging mit End-to-End Verschlüsselung zur Verfügung. Ironischerweise würde das Herunterladen und Ausführen der mit dem FinFisher-Trojaner modifizierten Datei genau zum Gegenteil führen – dem Ausspähen.

Der besondere Fokus auf User die nach Verschlüsselungssoftware suchen, beschränkt sich anscheinend nicht nur auf End-to-End Kommunikation. Während des ESET-Researchs wurde auch eine Installationsdatei mit dem Namen TrueCrypt gefunden.

Wer ist der “Man“ in the middle?

Technisch ist es durchaus möglich, dass der “Man“ in den “Man-of-the-middle“ Attacken verschiedene Anknüpfungspunkte für seine Kompromittierung entlang der Route vom Zielcomputer zum eigentlichen legitimen Server benutzt. Die geografische Verteilung von ESET-Erkennungen der neusten FinFisher-Varianten lässt vermuten, dass die Man-in-the-middle Attacken (MitM) auf einem höheren Niveau stattfinden. Ein Ursprung bei den ISPs ist die wahrscheinlichste Option.

Unsere Annahme wird durch eine Reihe von Fakten untermauert. Erstens: geleakte interne Dokumente, die von Wikileaks veröffentlicht wurden, zeigen, dass die FinFisher-Herausgeber eine Lösung namens “FinFly ISP“ anbieten. Diese wird auf ISP-Netzwerke angewandt und besitzt die Möglichkeiten, die für die Durchführung eines solchen MitM-Angriffs notwendig sind.

Zweitens: Die Kompromittierungstechnik (Gebrauch der HTTP 307 Weiterleitung) wird in beiden betroffenen Ländern in gleicher Weise umgesetzt, was sehr unwahrscheinlich ist, es sei denn, es wurde von derselben Quelle entwickelt und / oder bereitgestellt.

Drittens: Alle betroffenen Ziele innerhalb eines Landes verwenden denselben ISP. Abschließend wurde die gleiche Umleitungsmethode und das -format für die Inhaltsfilterung von Internet Service Providern in mindestens einem der betroffenen Länder verwendet.

Der Einsatz einer MitM-Angriffsmethode auf ISP-Ebene, wie es in den geleakten Dokumenten erwähnt wurde, fand nie statt – bis jetzt. Wenn bestätigt, stellt die FinFisher-Kampagne ein sehr anspruchsvolles und gut getarntes Überwachungsprojekt dar, das es in dieser Kombination von Methodik und Reichweite noch nie gab.

Welche Möglichkeiten der Erkennung gibt es?

Alle ESET-Produkte erkennen und blockieren die Bedrohung namens Win32/FinSpy.AA und Win32/FinSpy.AB. Der kostenfreie ESET-Online Scanner überprüft den Computer auf Bedrohungen und Sicherheitslücken und entfernt Schädlinge im Ernstfall. ESET-Kunden werden dahingegen ganz ohne manuelles Eingreifen geschützt.