АссистентНовый вопросИсторияОбласти знаний
Партнёрские проектыСпецпроектыСтать автором
Сменить язык
2219276 статей на русском языкеО РУВИКИ

FinFisher

FinFisher (англ. FinFisher), также известное как FinSpy (англ. FinSpy), — программное обеспечение для наблюдения, распространяемое компанией Lench IT Solutions plc. Разработка FinFisher продвигается в основном через правоохранительные органы и специализированные каналы продажи программ-шпионов.

FinFisher может быть скрытно установлено на компьютеры целевых пользователей путём использования уязвимостей в процедурах обновления популярных программ, не вызывающих подозрений. Компанию критиковали правозащитные организации за продажу подобных решений репрессивным и авторитарным режимам, известным практикой слежки и преследования политических оппозиционеров[1]. После событий Арабской весны египетские диссиденты, захватившие офисы тайной полиции, обнаружили контракт с Gamma International на сумму 287 000 евро на лицензию для использования FinFisher[2]. В 2014 году гражданин США подал в суд на правительство Эфиопии за несанкционированную установку FinSpy на свой компьютер, прослушку звонков в Skype и полный контроль активности семьи на устройстве на протяжении нескольких месяцев[3][4].

Lench IT Solutions plc имеет отделение Gamma International Ltd. в Андовере (Великобритания) и Gamma International GmbH в Мюнхене (Германия). Gamma International является дочерней компанией группы Gamma Group, специализирующейся на системах слежения и мониторинга, предоставляющим оборудование, программные решения и обучение. Владельцем считается Уильям Лутин Нельсон (William Louthean Nelson) через оффшорную структуру на Британских Виргинских островах[5]. Структура создавалась с привлечением номинального директора для сокрытия конечного бенефициара, чем и являлся Нельсон — распространённая схема для оффшорных компаний[6].

6 августа 2014 года исходные коды FinFisher, информация о ценах, история поддержки и другие внутренние данные были опубликованы после взлома сети Gamma International хакером Phineas Fisher (англ. Phineas Fisher)[7].

В марте 2022 года компания FinFisher GmbH была полностью ликвидирована и прекратила деятельность после того, как прокуратура Мюнхена арестовала её счета[8]. При этом связанная с ней британская компания Gamma Group Ltd остаётся активной[9], однако сама угроза шпионского программного обеспечения FinSpy считается преимущественно исторической[10].

Элементы пакета FinFisher

Помимо программ-шпионов, пакет FinFisher предлагает государственным структурам средства мониторинга новых угроз и быстрой актуализации решений и методик, дополняя разработки спецслужб[11]. Компания позиционирует свои продукты как «решения для удалённого мониторинга и внедрения», позволяющие полностью контролировать заражённые системы и получать доступ даже к зашифрованной информации и коммуникациям. Использование «усовершенствованных методов удалённого внедрения» позволяет устанавливать ПО дистанционно[11]. Также предлагается обучающая программа «IT Intrusion Training Program», включающая практикум по методам вторжения и использованию ПО[11].

Пакет предлагается на арабском, английском, немецком, французском, португальском и русском языках и рекламируется по всему миру как раз на отраслевых выставках, где предоставляется комплексная поддержка, обучение и обслуживание для госорганов[12].

Известно о существовании версий шпионского ПО для операционных систем macOS и Linux, которые имеют схожую архитектуру. Данные версии включают модули для перехвата файлов, записи звука с микрофона и кейлоггинга[13].

Мобильные модули комплекса для платформ Android и iOS обладают широкими возможностями для слежки, включая перехват данных из защищённых мессенджеров и удалённое управление микрофоном и камерой устройства. Для расширения контроля над заражённой системой модули могут использовать эксплойты для получения root-доступа на Android или скрывать следы джейлбрейка на iOS[14].

Способы заражения

Вредоносное ПО FinFisher распространяется различными способами: через поддельные обновления программ, электронные письма со зловредными вложениями, использование уязвимостей в популярных приложениях. Часто набор наблюдательного ПО устанавливается после согласия пользователя на фиктивное обновление используемой программы. Код, устанавливающий вредоносное ПО, также обнаруживался во вложениях e-mail[15]. Программа по замыслу разработчиков невидима для антивирусов, существует в редакциях для основных мобильных платформ.

Одна из уязвимостей компании Apple в программе iTunes позволяла сторонним лицам использовать механизм онлайн-обновления для установки несанкционированных программ. Gamma International демонстрировала на презентациях для силовых структур методы скрытого внедрения FinFisher через процедуру обновления iTunes.

Уязвимость, которую использовал FinFisher, была впервые описана обозревателем Брайаном Кребсом в 2008 году. Apple устранила баг только через три года, в ноябре 2011-го. Причины столь долгой задержки компания не комментировала. Проморолики FinFisher, демонстрирующие заражение системы через обновление, были опубликованы организацией WikiLeaks в декабре 2011 года.

В 2014 году выяснилось, что правительство Эфиопии установило FinSpy на компьютер американца через поддельное вложение в электронной почте, замаскированное под документ Microsoft Word[3].

FinFisher также использовался для политически мотивированных атак. Например, в Эфиопии для заражения компьютеров использовались фотографии членов оппозиции[1].

Технические разборы вредоносного ПО, методов заражения и способов закрепления в системе опубликованы на блоге Code And Security (серия из четырёх частей)[16].

Для заражения систем под управлением Windows также используется UEFI-буткит, подменяющий легитимный загрузчик операционной системы (bootmgfw.efi). Это позволяет вредоносному коду запускаться до старта ОС, обеспечивая высокую скрытность и выживаемость вируса даже после переустановки системы[17].[18]

Помимо этого, зафиксированы многоступенчатые атаки через заражённые установщики легитимных программ, таких как TeamViewer и VLC Media Player. При их запуске скачиваются и развёртываются основные компоненты шпионского ПО[19].

Ещё одним вектором заражения являются атаки «человек посередине» (Man-in-the-Middle) на уровне интернет-провайдеров (ISP). В таких случаях трафик пользователя, пытающегося скачать легитимное приложение, перенаправляется для загрузки троянизированной версии программного обеспечения[20].[21]

Использование авторитарными режимами

  • Массовое применение FinFisher различными правительствами с оппозиционным движением стало известно в марте 2011 года, когда египетские протестующие нашли переписку Gamma International UK Ltd., подтверждающую установку тестовой версии ПО для местной тайной полиции[22].
  • Аналогичный случай отмечался в августе 2012 года: активисты из Бахрейна переслали учёным из Citizen Lab вредоносные e-mail на анализ, который выявил эксплойт FinSpy[15]. Представители Gamma заявляли, что не поставляли ПО в Бахрейн, и что перехваченная копия — возможно, нелегальная, модифицированная демонстрация. В августе 2014 года организация Bahrain Watch подтвердила, что утечка данных FinFisher содержит переписку сотрудников компании с государственными клиентами Бахрейна и указывает на слежку за правозащитниками, адвокатами, журналистами и оппозицией.
  • Документ от 7 декабря 2012 года немецкого Министерства внутренних дел сообщает, что Федеральная разведывательная служба Германии (BND) лицензировала FinFisher/FinSpy, несмотря на неясный правовой статус подобных инструментов в Германии[23].
  • В 2014 году гражданин США подал в суд на Эфиопию за установку и эксплуатацию FinSpy, в том числе за запись многочисленной пользовательской активности. Экспертиза показала, что все перехваченные данные отправлялись на контролируемый эфиопским правительством сервер. Вирус попал на компьютер при открытии письма с документом, в котором был вредоносный код[3]. В марте 2017 года апелляционный суд округа Колумбия признал, что действия эфиопских властей защищены иммунитетом государства согласно Закону о суверенных иммунитетах[24][25].
  • В 2015 году FinFisher использовалась в рамках программы «Fungua Macho» (Уганда) для слежки за оппозиционной партией «Форум за демократические перемены» (Forum for Democratic Change).
  • В 2017 году шпионское программное обеспечение FinSpy использовалось в Турции против участников оппозиционного «Марша справедливости». Атака осуществлялась через поддельный веб-сайт, с которого участникам предлагалось загрузить вредоносное ПО, замаскированное под приложение для координации протестов[8].

Уголовное преследование и ликвидация

В 2017 году шпионское программное обеспечение FinSpy использовалось в Турции против участников оппозиционного «Марша справедливости». Атака осуществлялась через поддельный веб-сайт, с которого участникам предлагалось загрузить вредоносное ПО, замаскированное под приложение для координации протестов[8].[26] В октябре 2020 года прокуратура Мюнхена провела масштабные обыски в офисах FinFisher по делу о незаконном экспорте программного обеспечения в Турцию по контракту на сумму 5 млн евро[8].[27] Последующий арест банковских счетов с целью возможной конфискации доходов лишил компанию возможности продолжать деятельность, что привело к её полному банкротству и ликвидации в марте 2022 года[8].[28] В мае 2023 года четырём бывшим руководителям были предъявлены обвинения, однако к маю 2026 года приговор судом Мюнхена ещё не вынесен[29].

Reporters Without Borders

12 марта 2013 года организация «Репортёры без границ» (англ. Reporters Without Borders) включила Gamma International в список «корпоративных врагов интернета» и назвала её «наёмниками цифровой эпохи» за продажу средств тотального контроля, используемых для нарушений прав человека и свободы информации. Технология FinFisher применялась в Бахрейне, и «Репортёры без границ» совместно с Privacy International, ECCHR, Бахрейнский центр по правам человека и Bahrain Watch подали жалобу по линии ОЭСР, инициировав расследование потенциальной причастности Gamma к слежке за оппозицией в этой стране. Согласно последующим исследованиям, использование FinFisher подтверждено также в Австралии, Австрии, Бахрейне, Бангладеш, Великобритании, Брунее, Болгарии, Канаде, Чехии, Эстонии, Эфиопии, Германии, Венгрии, Индии, Индонезии, Японии, Латвии, Литве, Северной Македонии, Малайзии, Мексике, Монголии, Нидерландах, Нигерии, Пакистане, Панаме, Катаре, Румынии, Сербии, Сингапуре, ЮАР, Турции, Туркменистане, ОАЭ, США, Венесуэле и Вьетнаме.

В марте 2022 года «Репортёры без границ» и партнёрские правозащитные организации приветствовали банкротство FinFisher, а в мае 2023 года — предъявление обвинений бывшему руководству компании. Организации назвали эти события прямым результатом своей совместной уголовной жалобы, поданной в 2019 году[30].[31]

Маскировка под легитимное ПО

FinFisher может имитировать другие легитимные приложения, такие как Mozilla Firefox. 30 апреля 2013 года компания Mozilla объявила о направлении Gamma официального требования о прекращении нарушения торговой марки[32]. Gamma создала вредоносную программу с названием firefox.exe, поддельным номером версии и маркой, чтобы замаскировать её под настоящий Firefox[33]. В период 2020–2022 годов для маскировки и распространения шпионского программного обеспечения также использовались троянизированные установщики других популярных программ, таких как TeamViewer, VLC Media Player, WinRAR и Adobe Flash Player[18].

Обнаружение

В статье PC Magazine Билл Марчак (Bahrain Watch, University of California, Berkeley), исследовавший FinFisher, отмечал, что антивирусной защиты недостаточно, так как FinSpy Mobile обходил сканирование. Аналитик журнала прогнозировала, что производители антивирусов обновят свои базы для обнаружения FinSpy Mobile.

По данным ESET, FinFisher и FinSpy идентифицируются антивирусом как трояны «Win32/Belesak.D»[34][35].

Другие производители утверждают, что их продукты блокируют любое известное шпионское ПО независимо от его происхождения. Евгений Касперский, руководитель Лаборатории Касперского, заявлял: «Мы детектируем всё вредоносное ПО вне зависимости от его назначения и источника». Впрочем, способы обхода данной защиты в отношении Kaspersky были раскрыты в 2014 году на блоге Code And Security.

FinFisher неоднократно оказывалась в центре скандалов: её продукты использовались авторитарными режимами против оппозиции на Ближнем Востоке.

Методы выявления UEFI-загрузчика FinSpy включают сканирование системного раздела EFI (ESP) на предмет подмены легитимного загрузчика Windows, использование специализированных антивирусных сканеров UEFI и контроль загрузочной цепочки через механизм Secure Boot[36].

Примечания

  1. 1 2 You Only Click Twice: FinFisher's Global Proliferation (англ.), University of Toronto Citizen Lab (13 марта 2013). Архивировано 9 августа 2014. Дата обращения: 28 мая 2026.
  2. John Leyden. UK firm denies supplying spyware to Mubarak's secret police: RATs nest found in Egyptian spook HQ (англ.), The Register (21 сентября 2011). Архивировано 27 ноября 2011. Дата обращения: 28 мая 2026.
  3. 1 2 3 Janus Kopfstein. Hackers Without Borders (англ.) (10 марта 2014). Архивировано 26 августа 2014. Дата обращения: 28 мая 2026.
  4. American Sues Ethiopian Government for Spyware Infection (англ.), Electronic Frontier Foundation (18 февраля 2014). Архивировано 3 октября 2014. Дата обращения: 28 мая 2026.
  5. Offshore company directors' links to military and intelligence revealed (англ.). The Guardian (28 ноября 2012). Дата обращения: 28 мая 2026.
  6. The 2014 FinFisher Leaks were a precursor to both Vault 7 and Panama Papers (англ.). wikileaksdecrypted.com. Дата обращения: 27 марта 2017. Архивировано 28 марта 2017 года.
  7. Andre Meister. Gamma FinFisher hacked: 40 GB of internal documents and source code of government malware published (англ.), Netzpolitik.org (6 августа 2014). Архивировано 6 августа 2014. Дата обращения: 28 мая 2026.
  8. 1 2 3 4 5 Surveillance software Germany-Turkey: FinFisher (англ.). European Center for Constitutional and Human Rights. Дата обращения: 28 мая 2026.
  9. GAMMA GROUP LTD (англ.). GOV.UK. Дата обращения: 28 мая 2026.
  10. Annual Threat Dynamics 2026: Cyber threats in motion (англ.). PwC. Дата обращения: 28 мая 2026.
  11. 1 2 3 Portfolio (англ.). FinFisher IT Intrusion. Gamma Group. Дата обращения: 28 мая 2026. Архивировано 8 мая 2012 года.
  12. News (англ.). Gamma Group. Дата обращения: 28 мая 2026. Архивировано 4 октября 2012 года.
  13. FinSpy: commercial spyware for Windows, macOS, and Linux. Kaspersky. Дата обращения: 28 мая 2026.
  14. FinSpy: шпионское ПО, которое может скрывать следы джейлбрейка на iOS. Galex.ru. Дата обращения: 28 мая 2026.
  15. 1 2 Nicole Perlroth. Elusive FinSpy Spyware Pops Up in 10 Countries (англ.) (13 августа 2012). Архивировано 18 августа 2012. Дата обращения: 28 мая 2026.
  16. FinFisher Malware Analysis and Technical Write-up (англ.), Coding and Security (19 сентября 2014). Архивировано 6 марта 2016. Дата обращения: 19 сентября 2014.
  17. FinSpy Unseen Findings. Cymulate. Дата обращения: 28 мая 2026.
  18. 1 2 FinFisher spyware improves its arsenal with four levels of obfuscation, UEFI infection and more. Kaspersky. Дата обращения: 28 мая 2026.
  19. FinSpy для Windows, macOS и Linux. Kaspersky. Дата обращения: 28 мая 2026.
  20. New FinFisher surveillance campaigns. WeLiveSecurity (21 сентября 2017). Дата обращения: 28 мая 2026.
  21. ISPs inside Turkey, Egypt spread FinFisher spyware in massive espionage campaign. CyberScoop. Дата обращения: 28 мая 2026.
  22. Restrictions on freedom of communication (араб.). shorouknews.com. Sunrise Gateway. Дата обращения: 28 мая 2026. Архивировано 25 марта 2014 года.
  23. Andre Meister. Secret Government Document Reveals: German Federal Police Plans To Use Gamma FinFisher Spyware (англ.), Netzpolitik.org (16 января 2013). Архивировано 28 июля 2013. Дата обращения: 28 мая 2026.
  24. Note (2018). “Recent Case: D.C. Circuit Finds Ethiopia Immune in Hacking Suit” (PDF). Harv. L. Rev. [англ.]. 131: 1179. Дата обращения 2026-05-28.
  25. Doe v. Federal Democratic Republic of Ethiopia, 851 F.3d 7 (D.C. Cir. 2017).
  26. Export of surveillance software. Gesellschaft für Freiheitsrechte. Дата обращения: 28 мая 2026.
  27. Our criminal complaint: German state malware company FinFisher raided. Netzpolitik.org (8 октября 2020). Дата обращения: 28 мая 2026.
  28. FinFisher shuts down. Access Now (29 марта 2022). Дата обращения: 28 мая 2026.
  29. Anklage gegen vier ehemalige Verantwortliche der FinFisher GmbH wegen Verstoßes gegen das Außenwirtschaftsgesetz. Staatsanwaltschaft München I (3 мая 2023). Дата обращения: 28 мая 2026.
  30. FinFisher stellt Geschäftsbetrieb ein und meldet Insolvenz an. Gesellschaft für Freiheitsrechte (29 марта 2022). Дата обращения: 28 мая 2026.
  31. Unsere Strafanzeige: Staatsanwaltschaft klagt Manager von FinFisher an. Netzpolitik.org (3 мая 2023). Дата обращения: 28 мая 2026.
  32. Protecting our brand from a global spyware provider (англ.) (30 апреля 2013). Дата обращения: 28 мая 2026. Архивировано 2 мая 2013 года.
  33. Mozilla Fights Against Spyware Company and its Exploits (англ.) (май 2013). Дата обращения: 28 мая 2026. Архивировано 3 июля 2013 года.
  34. Cameron Camp. FinSpy and FinFisher spy on you via your cellphone and PC, for good or evil? (англ.). WeLiveSecurity (31 августа 2012). Дата обращения: 28 мая 2026. Архивировано 5 октября 2017 года.
  35. David Harley. Finfisher and the Ethics of Detection (англ.). WeLiveSecurity (31 августа 2012). Дата обращения: 28 мая 2026. Архивировано 22 декабря 2017 года.
  36. Методы обнаружения UEFI-буткитов FinSpy. SecurityLab.ru (2025). Дата обращения: 28 мая 2026.

Ссылки

Категории