Également connu sous le nom de FinSpy ou Wingbird, FinFisher est un logiciel de surveillance, suivi par Kaspersky depuis 2011. Il est capable de rassembler diverses informations d’identification, des listes de fichiers, des fichiers supprimés ainsi que d’autres types de documents. FinFisher est également en mesure de récolter, des informations liées au streaming en live ou à l’enregistrement de données et peut contrôler les webcams et le microphone. Ses implants Windows ont été détectés et étudiés à plusieurs reprises par les équipes de Kaspersky jusqu’en 2018 avant de disparaître des radars.
Les solutions Kaspersky ont détecté par la suite des installateurs suspects issus d’applications légitimes comme TeamViewer, VLC Media Player et WinRAR, contenant des codes malveillants qui ne pouvaient être rattachés à aucun malware connu. Jusqu’au jour où les chercheurs de Kaspersky découvrirent un site Web en langue birmane hébergeant les installateurs infectés et des échantillons de FinFisher pour Android, leur faisant comprendre que ces derniers dissimulaient un cheval de Troie du même spyware. Cette découverte les a encouragés à poursuivre leurs investigations.
Contrairement aux versions précédentes injectant le cheval de Troie immédiatement dans l’application infectée, les nouveaux échantillons étaient protégés par deux composants : un module de pré-validation non persistant et un autre de post-validation. Le premier composant exécute plusieurs contrôles de sécurité pour s’assurer que l’appareil qu’il est en train d’infecter n’appartient pas à un chercheur en sécurité. Une fois ces contrôles de sécurité terminés, le composant post-validation est fourni par le serveur, garantissant que la victime infectée est bien celle ciblée par le pirate. A la suite de quoi le serveur commande le déploiement du cheval de Troie dans son intégralité.
FinFisher présente quatre niveaux d’obfuscation complexes et sur mesure. La fonction première de cette obfuscation est de ralentir l’analyse du logiciel espion. Le cheval de Troie met également en œuvre des moyens précis pour recueillir des informations, utilisant par exemple les outils de développement dans les navigateurs pour intercepter le trafic protégé par le protocole HTTPS.
Les chercheurs ont également découvert un échantillon de FinFisher en lieu et place du chargeur de démarrage UEFI Windows – un composant chargé de démarrer le système d’exploitation avec un autre composant malveillant après le lancement du firmware. Cette méthode d’infection permet aux attaquants d’installer un bootkit sans avoir à contourner les contrôles de sécurité du firmware. Les infections UEFI sont très rares et généralement difficiles à exécuter, elles se distinguent par leurs capacités d’évasion et leur persistance. Même si dans ce cas, les hackers n’ont pas infecté le firmware UEFI lui-même mais son étape de lancement, l’attaque était particulièrement furtive car le module malveillant était installé sur une partition séparée et pouvait directement contrôler le processus de démarrage de la machine infectée.
« Les efforts déployés par les développeurs de FinFisher pour le rendre inaccessible aux chercheurs en sécurité sont particulièrement inquiétants et impressionnants. Il semblerait qu’ils aient mis autant d’énergie dans les mesures d’obfuscation et d’anti-analyse que dans le cheval de Troie lui-même. Par conséquent, sa capacité à échapper à toute détection et analyse rend ce logiciel espion particulièrement difficile à suivre et à détecter. Le fait qu’il soit déployé avec une grande précision et soit pratiquement impossible à analyser signifie également que ses victimes sont vulnérables et qu’il impose un défi de taille aux chercheurs en cybersécurité : allouer une quantité importante de ressources pour démêler chaque échantillon. Je pense que les menaces complexes telles que FinFisher démontrent l’importance de la coopération et des échanges éclairés entre chercheurs. Il met également en avant les besoins en investissement dans de nouveaux types de solutions de sécurité capables de lutter contre ces menaces. » commente Igor Kuznetsov, principal security researcher au sein de la Global Research and Analysis Team (GReAT) de Kaspersky.
Lire le rapport complet sur FinFisher sur Securelist.
Pour se protéger contre des menaces telles que FinFisher, Kaspersky recommande de :
Pour la protection des entreprises, Kaspersky recommande de :