公民實驗室(Citizen Lab)的一項新調(diào)查顯示,政府使用FinFisher軟件的數(shù)量開始上升。在過去的幾年里,該實驗室的研究人員一直在監(jiān)控集權(quán)政府對類似監(jiān)控軟件的使用。
FinFisher軟件簡介
研究人員跟蹤服務(wù)器的物理定位發(fā)現(xiàn),它們受控于德國某公司的FinFisher GmbH基礎(chǔ)設(shè)施。這套基礎(chǔ)設(shè)施旨在涵蓋操作者和黑客的身份,F(xiàn)inFisher主控服務(wù)器稱為FinSpy Master,而中繼服務(wù)器稱為FinSpy Relays,他們是作為CC攻擊的命令控制端。
FinFisher軟件一旦感染目標機,會與中繼服務(wù)器通信,作為一個終端節(jié)點連接到主服務(wù)器。
FinFisher監(jiān)控系統(tǒng)
公民實驗室的專家使用了Zmap掃出了135臺服務(wù)器,其中包括FinSpy Master和FinSpy Relays。專家解釋道,只有主服務(wù)器通常部署在用戶那里,中繼服務(wù)器可以位于其他位置。
公民實驗室發(fā)出了一份報告:
“在2014年-2015年間,通過在FinFisher樣本中提取的指紋信息,我們采用Zmap掃描了整個IPV4網(wǎng)絡(luò)段。最終,我們得到了135臺匹配的指紋,我們可以肯定它們是FinSpy Masters和FinSpy Relays。”
有趣的是,對用于保護主服務(wù)器身份的中繼服務(wù)器的分析,讓公民實驗室的人發(fā)現(xiàn)了主控服務(wù)器的位置。
FinFisher地址的泄露
如果有人試圖用普通瀏覽器訪問某個FinSpy Relay,它會給你提供一個偽造的頁面,通常是Google.com或者Yahoo.com。如果偽造的頁面為Google,你查詢my ip address,它會給你回顯FinSpy Master的真實地址。
公民實驗室還表示:
“盡管FinFisher服務(wù)器的偽造頁面大部分都是Google.com或者Yahoo.com,我們?nèi)匀话l(fā)現(xiàn)了一些有意思的東西。FinSpy Relays取得的是從FinSpy Master上面返回的偽造內(nèi)容,所以在不少案例中,里面的數(shù)據(jù)包是FinSpy Master的定位數(shù)據(jù)。比如這些頁面可能會嵌入服務(wù)器的IP和當?shù)氐奶鞖猓@會泄露FinSpy Masters的定位數(shù)據(jù)。”
在偽造的Yahoo頁面中,公民實驗室還使用了另一種方法來獲取FinSpy Master的定位。事實上,雅虎會用它來在主頁上顯示自定義的天氣信息和新聞,WEB頁面的源碼因此泄露了FinSpy Masters的定位數(shù)據(jù)。
公民實驗室的專家強調(diào),服務(wù)器返回偽造頁面的數(shù)量隨著時間的推移正在下降,研究人員在32個國家發(fā)現(xiàn)了FinFisher用戶。據(jù)上一次的分析,通過偽造內(nèi)容指紋掃描,能在16個國家里識別出FinFisher用戶。最新發(fā)現(xiàn)的國家以及地區(qū)有:安哥拉、埃及、加蓬、約旦、哈薩克斯坦、肯尼亞、黎巴嫩、摩洛哥、阿曼、巴拉圭、沙特阿拉伯、斯洛文尼亞、西班牙、臺灣、土耳其和委內(nèi)瑞拉。
在某些特定的情況下,專家能根據(jù)特定的IP地址標識跟蹤到政府辦公室。去年,政府FinFisher系統(tǒng)曾被攻擊,黑客放出了約40GB的數(shù)據(jù)。