Специалистами из Citizen Lab было проведено исследование, по результатам которого был отмечен значительный рост числа правительственных структур, пользующихся шпионским программным обеспечением FinFisher, за последнее время. Эксперты на протяжении нескольких лет отслеживали применение средств наблюдения, подобных FinFisher, в тоталитарных государствах. Следует отметить, что FinFisher – это эксклюзивная шпионская программа, приобрести которую могут лишь государственные учреждения и правоохранительные органы.
Исследователями отслеживалось физическое расположение серверов, находящихся под контролем немецкой структуры FinFisher GmbH, которая специализируется на выслеживании операций и личностей преступников. С помощью FinFisher можно дистанционно управлять любым компьютером, зараженным этим программным обеспечением, осуществлять перехват звонков в Skype и копирование файлов с компьютера. Также среди инструментов, доступных в шпионском программном обеспечении, присутствует кейлоггер.
Для работы с FinFisher используется главный сервер, имеющий название FinSpy Master, а также множество промежуточных серверов FinSpy Relay, выступающих в роли C&C-серверов. Сразу после заражения целевого устройства, FinFisher налаживает связь с промежуточными серверами, которые в свою очередь осуществляют передачу информации на главный сервер. Экспертами из Citizen Lab использовался инструмент Zmap, с помощью которого было обнаружено 135 серверов, включая главные и промежуточные. Обычно главные серверы размещены у пользователей шпионского программного обеспечения, а промежуточные могут находиться где угодно.
Примечательно, что эксперты вычислили расположение FinSpy Master именно с помощью промежуточных серверов, функцией которых является сокрытие главного сервера. При попытке подключения к IP-адресу FinSpy Relay, на экране монитора появляются поддельные страницы Yahoo.com и Google.com. Как выяснили исследователи, в случае, если ложной страницей Google.com выполняется запрос “my ip address”, то поисковая система отобразит реальный IP-адрес FinSpy Master.
В случае с фальшивой страницей Yahoo.com экспертами использовался иной способ для определения местонахождения главного сервера. В исходный код веб-страницы содержались данные касательно расположения FinSpy Master, поскольку эти сведения используется Yahoo для того, чтобы отображать на главной странице новости и прогноз погоды. Так специалисты выяснили, что шпионским программным обеспечением FinFisher пользуются государственные структуры из 32 стран мира, включая Анголу, Венесуэлу, Египет, Иорданию, Испанию, Казахстан, Кению, Ливан, Марокко, Парагвай, Саудовскую Аравию, Словению, Тайвань и Турцию. Иногда эксперты даже могли проследить IP-адрес отдельно взятых госучреждений.