Čo môže firme spôsobiť najťažšie odhaliteľný spyvér, vďaka čomu sa nepozorovane dostane ku kamere, mikrofónu či k odstráneným súborom a ako sa pred ním chrániť?
Zdalo sa, že špionážne softvéry FinFisher skončili, no odborníci zistili opak
FinFisher, známy aj pod názvami FinSpy či Wingbird, je sledovací nástroj, ktorý spoločnosť Kaspersky monitoruje už od roku 2011. Dokáže zhromažďovať rôzne prihlasovacie údaje, zoznamy súborov či odstránené súbory, takisto aj rôzne dokumenty či dáta týkajúce sa živého streamovania alebo nahrávok a dokáže tiež získať prístup k webovej kamere a mikrofónu. Jeho vzorky identifikované v operačnom systéme Windows boli do roku 2018 odhalené a skúmané niekoľkokrát, následne sa zdalo, že sa FinFisher prestal realizovať.
Avšak spoločnosť Kaspersky neskôr odhalila podozrivé inštalátory legitímnych aplikácií, ako sú TeamViewer, VLC Media Player a WinRAR, ktoré obsahovali škodlivý kód a ktorý nebolo možné spojiť so žiadnym známym malvérom. Až kým odborníci neobjavili webovú stránku v barmčine, ktorá obsahovala infikované inštalačné programy a vzorky spyvéru FinFisher pre Android. Tento objav podnietil expertov spoločnosti Kaspersky k jeho ďalšej analýze.
Škodlivý softvér je ešte sofistikovanejší, experti sú znepokojení
Na rozdiel od predchádzajúcich verzií spyvéru, ktoré obsahovali trójskeho koňa hneď v infikovanej aplikácii, boli nové vzorky chránené dvomi zložkami. Prvá vykonávala viaceré bezpečnostné kontroly, aby sa uistila, že infikované zariadenie nepatrí bezpečnostnému profesionálovi. Keď tieto kontroly prebehli úspešne, server poskytol schvaľovací komponent, ktorý zabezpečil, že infikovaná obeť je tá, ktorú mali na muške. Až vtedy dal server príkaz na nasadenie plnohodnotnej platformy tohto trójskeho koňa.
„Množstvo práce vynaloženej na to, aby nebol FinFisher prístupný bezpečnostným profesionálom, je mimoriadne znepokojujúce a do istej miery aj obdivuhodné. Zdá sa, že jeho vývojári vložili do maskovacích a protianalytických opatrení minimálne toľko práce ako do samotného trójskeho koňa. Výsledkom je, že vďaka jeho schopnosti vyhnúť sa akejkoľvek detekcii a analýze je tento spyvér mimoriadne náročné sledovať a odhaliť. Skutočnosť, že je nasadený s tak vysokou presnosťou a je prakticky nemožné ho analyzovať, tiež znamená, že jeho obete sú obzvlášť zraniteľné a bezpečnostní experti tak čelia mimoriadnej výzve, pričom do odhalenia a analýzy každej jednej vzorky musia investovať nemalé množstvo prostriedkov. Som presvedčený, že komplexné hrozby ako napríklad FinFisher poukazujú na dôležitosť spolupráce bezpečnostných expertov a vzájomnej výmeny poznatkov, ako aj investícií do nových typov bezpečnostných riešení, ktoré dokážu bojovať proti takýmto hrozbám,“ komentuje Miroslav Kořen, generálny riaditeľ Kaspersky pre východnú Európu.
Ako sa ochrániť pred hrozbami, ako je FinFisher?
- Sťahovať aplikácie a programy iba z dôveryhodných webových stránok.
- Nezabudnúť pravidelne aktualizovať operačný systém a všetok softvér. Mnohé bezpečnostné problémy sa dajú vyriešiť inštaláciou aktualizovaných verzií softvéru.
- Vo všeobecnosti nedôverovať prílohám a linkom v e-mailoch. Pred kliknutím na prílohu alebo na odkaz starostlivo zvážiť, či je od niekoho, koho poznáte a komu dôverujete, či ju očakávate a pod. Ak sa nastavíte kurzorom myši na odkaz alebo prílohu, zistíte tak, ako sa volajú alebo kam skutočne smerujú.
- Vyhnúť sa inštalácii softvéru z neznámych zdrojov. Môže obsahovať a často aj obsahuje škodlivé súbory.
- Používať silné bezpečnostné riešenie na všetkých počítačoch a mobilných zariadeniach, napríklad Kaspersky Internet Security pre Android alebo Kaspersky Total Security.
Ako ochrániť firmu pred spyvérom FinFisher?
Firmy by mali byť obozretné a v záujme bezpečnosti urobiť nasledovné:
- nastaviť zásady pre používanie iného ako firemného softvéru a poučiť zamestnancov o rizikách sťahovania neautorizovaných aplikácií z nedôveryhodných zdrojov,
- poskytnúť svojim zamestnancom školenie zamerané na kybernetickú bezpečnosť, pretože mnohé cielené útoky začínajú phishingom alebo inými technikami sociálneho inžinierstva,
- nainštalovať riešenia anti-APT a EDR, ktoré umožňujú detekciu hrozieb, jej prešetrenie a včasnú nápravu incidentov. Firmy by mali zabezpečiť svojmu SOC tímu prístup k najnovším informáciám o hrozbách a pravidelne zvyšovať jeho kvalifikáciu prostredníctvom odborných školení,
- spolu so správnou ochranou koncových bodov môžu špecializované služby pomôcť proti vysokoprofilovým útokom. Služba Kaspersky Managed Detection and Response dokáže pomôcť identifikovať a zastaviť útoky v ich počiatočných štádiách, ešte predtým, než útočníci dosiahnu svoj cieľ.
Obchádzať zabezpečenie vedia aj iné škodlivé softvéry
Podobne „prefíkaný“ je aj malvér QakBot, mimoriadne silný bankový trójsky kôň. Jeho najnovšie verzie majú funkcie a techniky, ktoré mu umožňujú zistiť, či beží vo virtuálnom prostredí, môže tak zastaviť podozrivé aktivity alebo úplne prestať fungovať. Nezastavia ho preto experti ani automatizované nástroje. Čo môže spôsobiť a ako sa pred ním chrániť, približujeme v článku Kybernetickú bezpečnosť podniku môže narušiť vynovený QakBot. Ako ochrániť svoje peniaze a údaje?
Zddroj: Kaspersky, Grayling