FinFisher Spyware, auch unter dem Namen FinSpy bekannt, wurde in Vergangenheit immer wieder als Instrument in Überwachungskampagnen eingesetzt. Der Einsatz der Überwachungssoftware ist allerdings umstritten, da nicht nur legitime Ziele ausgespäht werden, sondern immer wieder auch Oppositionsmitglieder in Ländern mit gewalttätigen Regimen.
Ungeachtet dessen stammen die letzten gründlicheren Analysen aus dem Jahr 2010 und liegen damit bereits einige Zeit zurück. Seitdem verstärkten die Entwickler von FinFisher die Maßnahmen gegen das Analysieren der Spyware. Aus diesem Grund konnten spätere Berichte über FinFisher wahrscheinlich nicht sehr detailliert ausfallen. In einem Beitrag eines seriösen Antivirenherstellers hieß es sogar, dass es aufgrund der starken Verschleierungmethoden nicht gelang, den C&C-Server (Command&Control) aufzuspüren.
Nach der Entdeckung einer Welle von FinFisher-Überwachungskampagnen in verschiedenen Ländern Mitte des Jahres 2017 tauchten die ESET-Forscher dieses Mal tiefer in die Analyse einiger Samples ein. Damit die ESET-Forschergruppe die FinFisher Spyware noch eingehender untersuchen konnte, mussten zunächst die diversen Sicherheits- / Verschleierungsbarrieren durchbrochen werden.
“Unser Ziel ist es, unseren Kollegen bei der Analyse von FinFisher zu helfen und somit Internetnutzer vor dieser Bedrohung zu schützen.“
Filip Kafka, ESET-Malware-Analyst, leitet die Analysen von FinFisher und kommentierte den Einsatz der Überwachungssoftware für uns: „Das Unternehmen hinter FinFisher hat ein Multimillionen Dollar Business um die Spyware herum aufgebaut. Darum überrascht es nicht, dass die Entwickler große Anstrengungen unternommen haben, die Software so gut es geht zu verschleiern und vor Analysen zu schützen – mehr als Cyberkriminelle beispielsweise. Unser Ziel ist es, unseren Kollegen bei der Analyse von FinFisher zu helfen und somit Internetnutzer vor dieser Bedrohung zu schützen.“
Kafka erwartet für FinFisher in die Zukunft, dass die Entwickler die Schutzbarrieren nochmals verbessern werden, sodass sich eine Analyse noch schwieriger gestalten dürfte: “Durch die hohe Verfügbarkeit an Ressourcen besteht kaum Zweifel daran, dass die FinFisher Spyware mit noch besseren Anti-Analysemechanismen ausgestattet wird.“
ESETs Forschungen an FinFisher werden fortgesetzt. In einer ersten Stufe fokussierten sich die ESET-Forschenden auf den Angriffsvektor in den angesprochenen Spyware-Kampagnen. Mittlerweile gehen sie davon aus, dass Internet Service Provider eine entscheidende Rolle bei der Kompromittierung der Opfer mit FinFisher gespielt haben.
Filip Kafkas Präsentationsergebnisse inklusive einer Übersicht über die Anti-Analysemöglichkeiten der FinFisher Spyware zogen eine Menge Aufmerksamkeit auf der Virus Bulletin Conference und auch auf der AVAR conference im Jahr 2017 auf sich.
Interessierte finden nachfolgend das ESET-Research Whitepaper “ESET’s guide to deobfuscating and devirtualizing FinFisher”