Эксперты ESET выявили киберкампанию по распространению нового варианта вредоносной программы FinFisher (FinSpy). По словам исследователей, объектами атаки стали пользователи из семи государств, а в двух странах к организации кибератак могут быть причастны крупные интернет-провайдеры.
При этом, исходя из соображений безопасности, эксперты не сообщают, какие именно государства затронуты киберкампанией.
Кибершпионская утилита FinFisher разработана компанией Gamma Group и предназначена для сотрудников правоохранительных органов. В программу встроен кейлоггер, а также функционал перехвата коммуникаций и наблюдения посредством веб-камер/микрофонов.
Новая киберкампания отличается тем, что хакеры для распространения FinFisher применяют атаки типа man-in-the-middle на уровне интернет-провайдера. Если жертва загружает с официального сайта одно из таких приложений, как Avast, Skype, VLC Player, WhatsApp и WinRAR, происходит переадресация на сервер хакеров. Это приводит к загрузке на компьютер легитимной программы, зараженной новой версией FinFisher.
Эксперты нашли доказательства причастности интернет-провайдеров к этой киберкампании. Так, в документации, обнародованной WikiLeaks, указано, что разработчик FinFisher также создал утилиту FinFly ISP, которая предназначена для работы в сетях провайдеров. С ее помощью можно проводить атаки типа man-in-the-middle. Кроме того, методика заражения в двух затронутых странах является идентичной. В-третьих, все владельцы взломанных устройств в одном из государств пользовались услугами одного провайдера. Также в одной из стран эта же методика перенаправления применялась провайдерами для того, чтобы фильтровать интернет-контент.
