برمجية التجسس FinFisher تطور قدراتها التخريبية بأربعة مستويات

قدّم باحثو كاسبرسكي تحقيقًا شاملًا في جميع التحديثات الأخيرة التي أدخلت على برمجية التجسس FinSpy، والتي تستهدف أنظمة التشغيل Windows وMac OS وLinux، وأدوات تثبيتها. ويكشف البحث الذي استغرق إكماله ثمانية أشهر، عن تشويش مؤلف من أربعة مستويات أو طبقات، وإجراءات متقدمة لمكافحة التحليل يستخدمها مطورو برمجيات التجسس، بجانب استخدام حزمة UEFI لإصابة الضحايا. وتشير النتائج إلى تركيز كبير على التهرّب من القدرات الدفاعية، ما يجعل FinFisher أحد أصعب برمجيات التجسس في الكشف عنها حتى الآن.

ويُعدّ FinFisher، المعروف أيضًا بالاسمين FinSpy أو Wingbird، أداة مراقبة بدأت كاسبرسكي في تتبعها منذ العام 2011، وتتسم بالقدرة على جمع بيانات اعتماد الدخول إلى الحسابات، وقوائم الملفات، والملفات المحذوفة، بالإضافة إلى مختلف أنواع المستندات، وتسجيل البث المباشر والوصول إلى كاميرا ويب والميكروفون. وكان قد كُشف عن نسخها التي تُزرع في النظام Windows وبُحث فيها عدّة مرات حتى العام 2018 عندما بدا أن البرمجية قد اختفت عن المشهد.

بعد ذلك، اكتشفت حلول كاسبرسكي أدوات تثبيت مشبوهة لتطبيقات رسمية مثل TeamViewer وVLC Media Player وWinRAR، احتوت على شيفرات برمجية خبيثة لم يكن بالإمكان ربطها بأية برمجية خبيثة معروفة، حتى جاء يوم اكتشف فيه خبراء كاسبرسكي موقع ويب باللغة البورمية يحتوي على أدوات التثبيت المصابة وعينات من FinFisher خاصة بالنظام Android، ما ساعد على تحديد أنها كانت تروجانات تحمل برمجية التجسس نفسها. وقد دفع هذا الاكتشاف باحثي كاسبرسكي إلى مزيد من البحث في هذه البرمجية.

وبعكس الإصدارات السابقة من برمجية التجسس، والتي كانت تحتوي على تروجان مثبت مباشرة في التطبيق المصاب، فقد جرت حماية العينات الجديدة بمكونين؛ أداة تدقيق مسبق غير مستمرة non-persistent Pre-Validator وأداة تدقيق لاحق Post-Validator. ويُجري المكون الأول فحوصات أمنية متعدّدة للتأكد من أن صاحب الجهاز الذي يصيبه ليس باحثًا أمنيًا، وعندما تُجتاز عمليات التدقيق والتحقق، يزوِّد الخادم البرمجية بأداة التدقيق اللاحق، التي تضمن كون الضحية المصابة هي المقصودة، وعندها فقط يصدر الخادم أمره بتوظيف منصة التروجان الكاملة.

ويخضع FinFisher للحماية بالتشويش المكثف باستخدام أربع أدوات تشويش معقدة، تهدف إلى إبطاء تحليل برمجية التجسس. وعلاوة على ذلك، يلجأ التروجان إلى طرق غريبة لجمع المعلومات؛ فيستخدم، مثلًا، نمط المطورين في متصفحات الويب لاعتراض حركة مرور البيانات، حتى تلك المحمية ببروتوكول HTTPS.

واكتشف الباحثون أيضًا عينة من FinFisher حلّت محلّ أداة تحميل البرمجية الثانية للنظام Windows، وهي UEFI، التي يمكن تعريفها بأنها مكون يشغّل نظام التشغيل بعد إطلاق البرمجية الخبيثة بالتزامن مع البرمجية الثابتة للنظام. وسمحت طريقة الإصابة هذه للمهاجمين بتثبيت bootkit دون الحاجة إلى تجاوز فحوصات أمن البرمجيات الثابتة. وتُعدّ إصابات UEFI نادرة جدًا لكونها صعبة التنفيذ، وتُميِّزها المراوغة والمثابرة. ولم يُصِب المهاجمون في هذه الحالة برمجية UEFI الثابتة نفسها، ولكن مرحلة التشغيل التمهيدي التالية الخاصة بها، حيث جاء الهجوم متخفيًا بعد أن ثُبّتت الوحدة الخبيثة على قسم منفصل وأمكنها التحكّم في التشغيل التمهيدي للجهاز المصاب.

وأكّد إيغور كوزنِتسوف الباحث الأمني ​​الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي، أن حجم العمل المبذول لإخفاء نشاط FinFisher عن الباحثين الأمنيين “مثير للقلق” معتبرًا في الوقت نفسه أنه عمل “مثير للإعجاب نوعًا ما”، على حد وصفه. وقال إن نتيجة جهود المطورين المبذولة في إجراءات التشويش ومكافحة التحليل جعلت من الصعب تتبع برمجية التجسس هذه واكتشافها، مشيرًا إلى أن توظيفها الدقيق واستحالة تحليلها يدلّان على أن ضحاياها “معرضون لخطر كبير”، وأضاف: “يواجه الباحثون تحديًا خاصًا يتمثل في الاضطرار إلى استثمار قدرٍ هائل من الموارد لفكّ التشابكات الخاصة بكل عينة، وأرى أن مثل هذه التهديدات المعقدة تثبت أهمية تعاون الباحثين في مجال الأمن وتبادل المعرفة فيما بينهم، والاستثمار في أنواع مبتكرة من الحلول الأمنية التي يمكنها مكافحة مثل هذه التهديدات”.

هذا، ويمكن الاطلاع على التقرير الكامل عن FinFisher على الصفحة Securelist.

وتوصي كاسبرسكي المستخدمين الأفراد باتباع التدابير التالية للحماية من تهديدات مثل FinFisher:

كذلك توصي كاسبرسكي الشركات بالتالي: