FinFisher

FinFisher (англ. FinFisher), также известное как FinSpy (англ. FinSpy)^[1], — программное обеспечение для наблюдения, распространяемое компанией Lench IT Solutions plc. Разработка FinFisher продвигается в основном через правоохранительные органы и специализированные каналы продажи программ-шпионов^[1].

FinFisher может быть скрытно установлено на компьютеры целевых пользователей путём использования уязвимостей в процедурах обновления популярных программ, не вызывающих подозрений^[2].^[3]^[4] Компанию критиковали правозащитные организации за продажу подобных решений репрессивным и авторитарным режимам, известным практикой слежки и преследования политических оппозиционеров^[5]. После событий Арабской весны египетские диссиденты, захватившие офисы тайной полиции, обнаружили контракт с Gamma International на сумму 287 000 евро на лицензию для использования FinFisher^[6]. В 2014 году гражданин США подал в суд на правительство Эфиопии за несанкционированную установку FinSpy на свой компьютер, прослушку звонков в Skype и полный контроль активности семьи на устройстве на протяжении нескольких месяцев^[7].^[8]

Lench IT Solutions plc имеет отделение Gamma International Ltd. в Андовере (Великобритания) и Gamma International GmbH в Мюнхене (Германия)^[9].^[10] Gamma International является дочерней компанией группы Gamma Group, специализирующейся на системах слежения и мониторинга, предоставляющим оборудование, программные решения и обучение^[9]. Владельцем считается Уильям Лутин Нельсон (William Louthean Nelson) через оффшорную структуру на Британских Виргинских островах^[11]. Структура создавалась с привлечением номинального директора для сокрытия конечного бенефициара, чем и являлся Нельсон — распространённая схема для оффшорных компаний^[12].

6 августа 2014 года исходные коды FinFisher, информация о ценах, история поддержки и другие внутренние данные были опубликованы после взлома сети Gamma International хакером Phineas Fisher (англ. Phineas Fisher)^[13].

2 декабря 2021 года компания FinFisher GmbH инициировала процедуру несостоятельности (инсолвенции) в местном суде Мюнхена^[14], однако речь идёт только о реструктуризации — фирма продолжила деятельность под названием Vilicius Holding GmbH^[15].

Помимо программ-шпионов, пакет FinFisher предлагает государственным структурам средства мониторинга новых угроз и быстрой актуализации решений и методик, дополняя разработки спецслужб^[16]. Компания позиционирует свои продукты как «решения для удалённого мониторинга и внедрения», позволяющие полностью контролировать заражённые системы и получать доступ даже к зашифрованной информации и коммуникациям. Использование «усовершенствованных методов удалённого внедрения» позволяет устанавливать ПО дистанционно^[16]. Также предлагается обучающая программа «IT Intrusion Training Program», включающая практикум по методам вторжения и использованию ПО^[16].

Пакет предлагается на арабском, английском, немецком, французском, португальском и русском языках и рекламируется по всему миру как раз на отраслевых выставках, где предоставляется комплексная поддержка, обучение и обслуживание для госорганов^[17].

Вредоносное ПО FinFisher распространяется различными способами: через поддельные обновления программ, электронные письма со зловредными вложениями, использование уязвимостей в популярных приложениях. Часто набор наблюдательного ПО устанавливается после согласия пользователя на фиктивное обновление используемой программы^[2]. Код, устанавливающий вредоносное ПО, также обнаруживался во вложениях e-mail^[18]. Программа по замыслу разработчиков невидима для антивирусов, существует в редакциях для основных мобильных платформ^[1].

Одна из уязвимостей компании Apple в программе iTunes позволяла сторонним лицам использовать механизм онлайн-обновления для установки несанкционированных программ^[3].^[4] Gamma International демонстрировала на презентациях для силовых структур методы скрытого внедрения FinFisher через процедуру обновления iTunes.

Уязвимость, которую использовал FinFisher, была впервые описана обозревателем Брайаном Кребсом в 2008 году^[19]. Apple устранила баг только через три года, в ноябре 2011-го. Причины столь долгой задержки компания не комментировала. Проморолики FinFisher, демонстрирующие заражение системы через обновление, были опубликованы организацией WikiLeaks в декабре 2011 года^[10].

В 2014 году выяснилось, что правительство Эфиопии установило FinSpy на компьютер американца через поддельное вложение в электронной почте, замаскированное под документ Microsoft Word^[7].

FinFisher также использовался для политически мотивированных атак. Например, в Эфиопии для заражения компьютеров использовались фотографии членов оппозиции^[5].

Технические разборы вредоносного ПО, методов заражения и способов закрепления в системе опубликованы на блоге Code And Security (серия из четырёх частей)^[20].

Массовое применение FinFisher различными правительствами с оппозиционным движением стало известно в марте 2011 года, когда египетские протестующие нашли переписку Gamma International UK Ltd., подтверждающую установку тестовой версии ПО для местной тайной полиции^[21].
Аналогичный случай отмечался в августе 2012 года: активисты из Бахрейна переслали учёным из Citizen Lab вредоносные e-mail на анализ, который выявил эксплойт FinSpy^[1]^[18]. Представители Gamma заявляли, что не поставляли ПО в Бахрейн, и что перехваченная копия — возможно, нелегальная, модифицированная демонстрация^[22]. В августе 2014 года организация Bahrain Watch подтвердила, что утечка данных FinFisher содержит переписку сотрудников компании с государственными клиентами Бахрейна и указывает на слежку за правозащитниками, адвокатами, журналистами и оппозицией^[23].
Документ от 7 декабря 2012 года немецкого Министерства внутренних дел сообщает, что Федеральная разведывательная служба Германии (BND) лицензировала FinFisher/FinSpy, несмотря на неясный правовой статус подобных инструментов в Германии^[24].
В 2014 году гражданин США подал в суд на Эфиопию за установку и эксплуатацию FinSpy, в том числе за запись многочисленной пользовательской активности. Экспертиза показала, что все перехваченные данные отправлялись на контролируемый эфиопским правительством сервер. Вирус попал на компьютер при открытии письма с документом, в котором был вредоносный код^[7]. В марте 2017 года апелляционный суд округа Колумбия признал, что действия эфиопских властей защищены иммунитетом государства согласно Закону о суверенных иммунитетах^[25].^[26]
В 2015 году FinFisher использовалась в рамках программы «Fungua Macho» (Уганда) для слежки за оппозиционной партией «Форум за демократические перемены» (Forum for Democratic Change)^[27].
В 2015 году сообщалось, что руководство FinFisher незаконно продало систему спецслужбам Турции для мониторинга оппозиции. Четырём экс-менеджерам компании в 2023 году были предъявлены обвинения в Мюнхене в экспорте без лицензии по контракту на сумму 5,4 млн долларов^[28].

12 марта 2013 года организация «Репортёры без границ» (англ. Reporters Without Borders) включила Gamma International в список «корпоративных врагов интернета» и назвала её «наёмниками цифровой эпохи» за продажу средств тотального контроля, используемых для нарушений прав человека и свободы информации. Технология FinFisher применялась в Бахрейне, и «Репортёры без границ» совместно с Privacy International, ECCHR, Бахрейнский центр по правам человека и Bahrain Watch подали жалобу по линии ОЭСР, инициировав расследование потенциальной причастности Gamma к слежке за оппозицией в этой стране. Согласно последующим исследованиям, использование FinFisher подтверждено также в Австралии, Австрии, Бахрейне, Бангладеш, Великобритании, Брунее, Болгарии, Канаде, Чехии, Эстонии, Эфиопии, Германии, Венгрии, Индии, Индонезии, Японии, Латвии, Литве, Северной Македонии, Малайзии, Мексике, Монголии, Нидерландах, Нигерии, Пакистане, Панаме, Катаре, Румынии, Сербии, Сингапуре, ЮАР, Турции, Туркменистане, ОАЭ, США, Венесуэле и Вьетнаме^[9].^[10]

FinFisher может имитировать другие легитимные приложения, такие как Mozilla Firefox. 30 апреля 2013 года компания Mozilla объявила о направлении Gamma официального требования о прекращении нарушения торговой марки^[29]. Gamma создала вредоносную программу с названием firefox.exe, поддельным номером версии и маркой, чтобы замаскировать её под настоящий Firefox^[30].

В статье PC Magazine Билл Марчак (Bahrain Watch, University of California, Berkeley), исследовавший FinFisher, отмечал, что антивирусной защиты недостаточно, так как FinSpy Mobile обходил сканирование^[31]. Аналитик журнала прогнозировала, что производители антивирусов обновят свои базы для обнаружения FinSpy Mobile^[31].

По данным ESET, FinFisher и FinSpy идентифицируются антивирусом как трояны «Win32/Belesak.D»^[32].^[33]

Другие производители утверждают, что их продукты блокируют любое известное шпионское ПО независимо от его происхождения. Евгений Касперский, руководитель Лаборатории Касперского, заявлял: «Мы детектируем всё вредоносное ПО вне зависимости от его назначения и источника»^[34]. Впрочем, способы обхода данной защиты в отношении Kaspersky были раскрыты в 2014 году на блоге Code And Security.

FinFisher неоднократно оказывалась в центре скандалов: её продукты использовались авторитарными режимами против оппозиции на Ближнем Востоке^[35].

Официальный сайт (архив)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]

FinFisher

Элементы пакета FinFisher

Способы заражения

Использование авторитарными режимами

Reporters Without Borders

Маскировка под Firefox

Обнаружение

Примечания

Ссылки