lunes, agosto 11, 2014

Los gobiernos que nos espían y cómo lo hacen: Se filtra el código de FinFisher y sus clientes

En el mundo del ciberespionaje existen algunas empresas que se han dedicado a crear piezas de software para infectar y controlar los equipos de las personas vigiladas. Dicho así suena a que son empresas que hacen herramientas de hacking para hacer botnets e instalar R.A.T.s en los equipos de sus víctimas. Y es cierto, es lo que hacen, lo que sucede es que su objetivo es que lo utilicen los países y gobiernos dentro de la legalidad vigente de su país. 

Este tipo de herramientas las hemos visto muchas veces en incidentes en el pasado. Por ejemplo, cuando el grupo Anonymous hackeao la empresa HBGary, entre muchos de los servicios que esta empresa vendía al gobierno de los Estados Unidos, se encontró información de Task B y 12 Monkeys, el software de espionaje que vendía al gobierno.

Figura 1: Detalles del Rootkit "Task B"

En el caso de las revueltas populares en Egipto durante la Primavera Árabe, se pudo ver como el gobierno de El Cairo habría comprado FinFisher, el software de espionaje de la empresa Gamma. Este software ha sido famosos en muchos otros incidentes de espionaje de Internet, y en el informe de "Enemigos de Internet" se pudo ver cómo aparecía en muchos sitios. 

Figura 2: Detalle de la factura de Gamma al gobierno de Egipto. Clic para ver entera y saber el coste

A la lista de software de espionaje hay que sumar también a la empresa Hacking Team, quienes están detrás del desarrollo de Galileo, un malware de espionaje que se ha hecho popular este tiempo atrás por ser descubierto que para infectar los terminales iPhone espera a que se conecte el equipo a un terminal pareado y le realiza el jailbreak completo para luego instalar el troyano. 

El filtrado del material de FinFisher

Esta semana pasada, la noticia ha sido la filtración del código y los documentos de información de la empresa Gamma, lo que ha permitido saber mucho más de FinFisher y su troyano para dispositivos móviles FinSpy, además de conocer muchos de los clientes de la empresa. El filtrado se ha hecho a través de una cuenta de Twitter que se dedica a filtrar todo lo que puede de FinFisher, llamada @GammaGroupPR, y donde están los enlaces a todo el material que se ha liberado.

De los clientes ya se habían detectado dónde se encontraban los clientes por la ubicación de las direcciones IP de los paneles de control, que habían sido localizados en 25 países. Sin embargo, ahora, analizando diferentes detalles de toda la información que ha sido publicada se puede inferir una lista mucho más detallada de ellos, que ha sido publicada en Pastebin.

Figura 4: Algunos de los clientes inferidos en la filtración.
Lo curioso es que algunos de los clientes han aparecido tras analizar los metadatos de los documentos adjuntos en los correos electrónicos a los que se ha tenido acceso, lo que demuestra una vez que cualquier pieza de información extra puede ser utilizada. Otros de las claves PGP que se usan para intercambiar información cifrada.

Figura 5: Más clientes de FinFhiser inferidos

Por supuesto, también han salido filtrados nombres de los miembros del equipo de Gamma, así que se los estará buscando en las próximas conferencias de seguridad y hacking....

El código de FinSpy

Otro de los aspectos que se deseaba conocer es cómo funciona el software de FinSpy, del que se conocer mucha información por medio de los vídeos de promoción filtrados en el pasado. Por ejemplo, se sabe que usando un man in the middle se usa el truco de ofrecer una actualización de Flash a los clientes o que en el pasado se ha utilizado un bug de Evil Grade en Apple iTunes para infectar equipos OSX, pero no se tenían detalles del código.


Figura 6: Vídeo de promoción de FinSpy Mobile

Por ejemplo, se pudo saber en el pasado cómo funcionaba el troyano de espionaje de FinSpy para iOS, para lo que usan un Provisioning Profile, técnica conocida para el hacking de iPhones, o fraudulentas para Android, pero ahora se puede acceder al código fuente de las R.A.T.S. de BlackBerry, Symbian, Windows Mobile o Android, en diferentes versiones, lo que da mucha más información de cómo está construido este software.

Figura 7: Versiones de FinSpy de FinFisher filtradas. Clic para descargar el zip

Al final es un malware más, solo que con ellos supuestamente está creado para ser utilizado bajo supervisión legal, pero... algunos de sus clientes parece que se han hecho la ley a su medida. Por supuesto, no todos los países tiran de este tipo de software comercial, y ya hemos visto que la NSA tiene su batería de herramientas del grupo ANT para esto - de las cuales puedes hacerte con alguna para jugar en NSA PlaySet - y que el GCHQ tiene los suyos propios.

En fin, centrándonos en la parte técnica, seguro que disfrutas, y si estabas buscando un proyecto de investigación para una Conferencia, un Proyecto de Fin de Carrera o Máster, el analizar el funcionamiento de estos bichos seguro que es interesante.

Saludos Malignos!

3 comentarios:

MARIA dijo...

¿Y cómo es que gente que hace unas herramientas tan potentes luego se dejan hackear con un simple SQLi?

zhemn dijo...

Interesante. No obstante yo soy de los que piensa que si esto sale a la luz, ya sea por filtraciones o por interés... que tendrán en la manga y no me refiero a la playa que tengo al lado de casa xDDDDD Saludos!

Khan dijo...

Bueno... no es diferente a lo de Google/Microsoft/NSA y demás, claro que unos lo hacen con un fin y otros con otro...

Me reitero en que el fin no justifica los medios. En ningún caso.

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares