ISP pode ser o Agente de Ataque Man-in-the-Middle

Uma campanha de vigilância utilizando uma nova variante do FinFisher, o infame spyware também conhecido como FinSpy, foi rastreado por pesquisadores de segurança.

O FinFisher possui amplas capacidades de espionagem, como vigilância ao vivo através de webcams e microfones, keylogging e roubo de arquivos. O que diferencia o FinFisher de outras ferramentas de vigilância, no entanto, são as controvérsias em torno de suas implantações.

O FinFisher é comercializado como uma ferramenta de aplicação da lei e acredita-se que tenha sido usado também por regimes opressivos.

Sete países foram afetados, e em dois deles, os maiores provedores de internet provavelmente estiveram envolvidos na infecção de alvos de vigilância, de acordo com pesquisadores de segurança da ESET.

O envolvimento suspeito de ISPs – se confirmado – seria o primeiro.

O FinFisher é comercializado como uma ferramenta de aplicação da lei, mas tem um histórico de implantação em países com uma reputação pobre de direitos humanos. O software oferece vigilância secreta através de keylogging e roubo de arquivos, bem como vigilância ao vivo através de webcams e microfones.

As campanhas da FinFisher são conhecidas por terem utilizado vários mecanismos de infecção, incluindo spearphishing, instalações manuais com acesso físico a dispositivos, explorações de 0-day e os chamados ataques de watering hole  – sites de infectados que os alvos devem visitar .

O que há de novo – e mais preocupante – sobre as novas campanhas em termos de distribuição é o uso dos atacantes de um ataque man-in-the-midle com o “homem” no meio mais provável operando no nível do ISP – Internet Service Provider.

O ESET afirma ter identificado esta situação em dois dos países onde o spyware do FinFisher esta ativo, em, outros cinco países a infecção baseou-se em vetores tradicionais.

Segundo a ESET, quando o usuário – o alvo da vigilância – está prestes a baixar um dos vários aplicativos populares (e legítimos), eles são redirecionados para uma versão desse aplicativo infectado com o FinFisher.

O ataque começa com o usuário procurando por um dos aplicativos afetados em sites legítimos. Depois que o usuário clicar no link de download, seu navegador é exibido um link modificado e, portanto, redirecionado para um pacote de instalação trojanized hospedado no servidor do invasor. Quando baixado e executado, ele instala não apenas o aplicativo legítimo pretendido, mas também o spyware FinFisher incluído com ele.

eset1.jpg

As aplicações que vimos serem mal utilizadas para espalhar o FinFisher são WhatsApp, Skype, Avast, WinRAR, VLC Player e outras. É importante notar que praticamente qualquer aplicativo pode ser mal utilizado dessa maneira.

No ataque man-in-the-middle Seria tecnicamente possível que o “homem” fosse situado em várias posições ao longo da rota do computador do alvo para o servidor legítimo (por exemplo, hotspots Wi-Fi comprometidos).

No entanto, as observações do ESET apontam para uma dispersão geográfica sugere que o ataque MitM está acontecendo em um nível mais alto, provavelmente um ISP .

O ESET porta esta suposição baseados em uma série de fatos:

  • De acordo com materiais vazados pela WikiLeaks, o fabricante FinFisher ofereceu uma solução chamada “FinFly ISP” para ser implantada em redes ISP com recursos que correspondem aos necessários para realizar tal MitM ataque.
  • A técnica de infecção (usando o redirecionamento HTTP 307) é implementada da mesma maneira em ambos os países afetados, o que é muito improvável, a menos que tenha sido desenvolvido e / ou fornecido pela mesma fonte.
  • Todos os destinos afetados dentro de um país estão usando o mesmo ISP.
  • O mesmo método de redirecionamento e formato foram utilizados para a filtragem de conteúdo da internet por provedores de serviços de internet em pelo menos um dos países afetados.

A implantação da técnica de ataque MitM de nível ISP mencionada nos documentos da WikiLeaks nunca foi revelada – até agora.

Se confirmado, essas campanhas da FinFisher representariam um projeto de vigilância sofisticado e sigiloso sem precedentes em sua combinação de métodos e alcance.

por MindSec   22/09/2017
About mindsecblog 345 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.