I ricercatori di ESET, il più il più grande produttore di software per la sicurezza digitale dell’Unione europea, hanno identificato alcune campagne di sorveglianza che utilizzano una nuova variante di FinFisher, il noto spyware conosciuto anche come FinSpy, acquistato dalle agenzie governative in tutto in mondo e utilizzato anche da regimi oppressivi. Sono interessati sette paesi (per questioni di riservatezza e sicurezza i ricercatori di ESET hanno deciso di non nominarli) e in due di questi molto probabilmente lo spyware si è diffuso attraverso un attacco Man In The Middle attraverso alcuni importanti Internet Provider.

Lo spyware FinFisher ha molteplici funzionalità di spionaggio, come la sorveglianza attraverso webcam e microfoni, il keylogging e l’estrazione di file. Nell’ultima versione sono stati introdotti alcuni miglioramenti tecnici, finalizzati ad aumentare le sue capacità di spionaggio. Lo spyware usa un sistema di virtualizzazione del codice personalizzato per proteggere la maggior parte dei suoi componenti, incluso il driver in modalità kernel. Inoltre, l’intero codice è pieno di “trucchi” anti disassemblaggio per superare il primo livello di protezione.

L’innovazione più importante, tuttavia, è il modo in cui lo strumento di sorveglianza viene distribuito sui computer delle vittime. Quando l’utente da colpire sta per scaricare delle applicazioni famose come WhatsApp, Skype o VLC Player, viene dirottato verso il server dell’attaccante, scaricando un pacchetto di installazione infetto con il FinFisher. Dopo che l’utente clicca sul link per il download, il browser viene dirottato verso un pacchetto di installazione infetto ospitato sul server dell’attaccante che, dopo essere stato scaricato ed eseguito, non solo installa l’applicazione legittima ma anche lo spyware FinFisher. Il collegamento dannoso viene inserito nel browser dell’utente tramite un codice di risposta HTTP 307 che indica un indirizzamento temporaneo in cui il contenuto richiesto è stato spostato in un nuovo URL.

L’ipotesi che in alcune campagne FinFisher si è diffuso attraverso un attacco Man In The Middle attraverso alcuni importanti Internet Provider è supportata da numerosi fatti: in primo luogo, secondo i materiali interni che sono stati pubblicati da WikiLeaks, il produttore di FinFisher ha offerto una soluzione denominata “FinFly ISP” da distribuire su reti ISP con funzionalità corrispondenti a quelle necessarie per eseguire un questo tipo di attacco MitM. In secondo luogo, la tecnica dell’infezione (che usa il reindirizzamento HTTP 307) viene implementata allo stesso modo in entrambi i paesi colpiti. In terzo luogo, tutti gli obiettivi interessati all’interno di un paese stanno utilizzando lo stesso ISP. Infine, lo stesso metodo e il formato di reindirizzamento sono stati utilizzati per il filtro di contenuti Web da parte degli Internet Provider in almeno uno dei paesi interessati dall’attacco. L’utilizzo di attacchi MitM a livello ISP non era mai stato rivelato – almeno fino ad ora. Se confermato, queste campagne FinFisher rappresenterebbero un sofisticato e furtivo progetto di sorveglianza senza precedenti per combinazione di metodi e di portata.

Per ulteriori informazioni sulle nuove campagne FinFisher è possibile visitare il blog di ESET al seguente link: https://blog.eset.it/2017/09/le-nuove-campagne-di-sorveglianza-finfisher-sono-coinvolti-gli-internet-provider/

ESET, fondata nel 1992, è uno dei fornitori globali di software per la sicurezza informatica di pubbliche amministrazioni, aziende e utenti privati. Il software ESET NOD32 Antivirus fornisce una protezione in tempo reale da virus, worm, spyware e altri pericoli, conosciuti e non, offrendo il più elevato livello di protezione disponibile alla massima velocità e con il minimo impiego di risorse di sistema. NOD32 è l’antivirus che ha vinto il maggior numero di certificazioni Virus Bulletin 100% e dal 1998 non ha mai mancato l’individuazione di un virus ItW (in fase di diffusione). ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security Premium e ESET Cybersecurity per Mac rappresentano le soluzioni per la sicurezza informatica più raccomandate a livello mondiale, avendo ottenuto la fiducia di oltre 100 milioni di utenti. L’azienda, presente in 180 Paesi, ha il suo quartier generale a Bratislava e uffici e centri di ricerca a San Diego, Buenos Aires, Singapore, Praga, Cracovia, Montreal, Mosca. Per quattro anni di seguito ESET è stata inclusa fra le aziende Technology Fast 500 EMEA da Deloitte e per dieci anni consecutivi fra le aziende Technology Fast 50 Central Europe. Per maggiori info: www.eset.it

FUTURE TIME è il distributore esclusivo dei prodotti ESET per l’Italia, nonché suo partner tecnologico. Fondata a Roma nel 2001, Future Time nasce dalla sinergia di due preesistenti aziende attive da anni nel campo della sicurezza informatica. Future Time, con Paolo Monti e Luca Sambucci, fa parte della WildList Organization International, ente no profit a livello mondiale composto da esperti e aziende antivirus che hanno il compito di riportare mensilmente tipologia e numero dei virus diffusi in ogni Paese. Per maggiori info: www.eset.it