FinSpy yahut Wingbird olarak da bilinen FinFisher, Kaspersky’nin 2011’den beri takip ettiği bir nezaret aracı. Araç çeşitli kimlik bilgilerinin, evrak listelerinin ve silinen belgelerin yanı sıra çeşitli evrakları toplama, canlı akışla bilgi kaydetme ve web kamerası ve mikrofona erişim sağlama yeteneğine sahip. Windows implantları, FinFisher’ın radarın altına girdiği 2018 yılına kadar birkaç kere tespit edildi ve müşahede altına alındı.

Uzmanlar, TeamViewer, VLC Media Player ve WinRAR üzere yasal uygulamaların makus emelli kod içeren ve rastgele bir berbat gayeli yazılıma bağlanamayan kuşkulu yükleyicilerini tespit etti. 

Casus yazılım virüslü uygulamada evvelki sürümlerin tersine iki yeni bileşen tarafından korunuyordu: Kalıcı olmayan ön doğrulayıcı ve son doğrulayıcı. Birinci bileşen, bulaştığı aygıtın bir güvenlik araştırmacısına ilişkin olmadığından emin olmak için birden çok güvenlik kontrolü gerçekleştiriyor. Kod inançta olduğundan emin olunca sunucu tarafında Post-Validator bileşeni devreye giriyor ve tam teşekküllü Truva atı platformunun dağıtımını üstleniyor.

FinFisher, dört adet özel imal karmaşık ‘obfuscator’ ile büyük ölçüde karıştırılan bir örnek. Bu gizlemenin birincil fonksiyonu casus yazılım tahlilini yavaşlatmak. Truva atı ayrıyeten bilgi toplamak için tuhaf yollara başvuruyor. Örneğin bir HTTPS protokolüyle korunan trafiği engellemek için tarayıcılardaki geliştirici modundan yararlanıyor.

Araştırmacılar ayrıyeten, Windows UEFI önyükleyicisinin yerini alan bir FinFisher örneği keşfettiler. Bu bileşen sistem açıldıktan sonra makus gayeli bileşenle birlikte işletim sistemini başlatıyor. Bu bulaşma yolu, saldırganların üretici yazılımı güvenlik denetimlerini atlamalarına gerek kalmadan bir önyükleme seti çalıştırmalarına imkan sağlıyor. UEFI enfeksiyonları azdır ve çoklukla yürütülmesi zordur, iyi saklanmaları ve temizlenmelerinin güç oluşuyla öne çıkarlar. Bu örnekte saldırganlar UEFI eser yazılımının kendisine değil bir sonraki önyükleme etabına bulaştıysa da makus hedefli modül farklı bir kısma kurulduğundan ve virüslü makinenin önyükleme sürecini denetim edebildiğinden hücum gizlenmeyi başarıyordu.

Kaspersky GReAT Global Araştırma ve Tahlil Takımı Baş Güvenlik Araştırmacısı Igor Kuznetsov, şunları söylüyor: “FinFisher’ı güvenlik araştırmacıları için erişilebilir kılmak ismine yapılan çalışmaların büyüklüğü etkileyici ve telaş verici. Görünüşe nazaran geliştiriciler, en az Truva atının kendisi kadar şaşırtma ve tahlil zıddı tedbirlere dikkat etmişler. Sonuç olarak algılama ve tahlilden kaçabilme yetenekleri, casus yazılımın izlenmesini ve tespit edilmesini bilhassa zorlaştırıyor. Casus yazılımın yüksek hassasiyetle konuşlandırılmasının ve tahlil edilmesinin pratikte imkansız olması, kurbanlarının savunmasız olduğu ve araştırmacıların özel bir zorlukla karşı karşıya kaldığı manasına geliyor. Her bir örneği çözmek için çok büyük ölçüde kaynak ayırmak gerekiyor. FinFisher üzere karmaşık tehditlerin güvenlik araştırmacılarının iş birliği yapmasının, bilgi alışverişinde bulunmasının ve bu cins tehditlerle çaba edebilecek yeni güvenlik tahlillerine yatırım yapmasının değerini gösterdiğine inanıyorum.” 

Kendinizi FinFisher üzere tehditlerden korumak için şu yolları izleyin:

Uygulamalarınızı ve programlarınızı emniyetli web sitelerinden indirin.

İşletim sisteminizi ve tüm yazılımlarınızı tertipli olarak güncellemeyi unutmayın. Birçok güvenlik sorunu yazılımların güncellenmiş sürümleri yüklenerek çözülebilir.

E-posta eklerine güvenmeyin. Bir eki açmak yahut bir ilişkiyi takip etmek için tıklamadan evvel dikkatlice düşünün: Tanıdığınız ve güvendiğiniz birinden mi geliyor, bekliyor muydunuz, pak mi? Gerçekte nereye gittiklerini görmek için kontakların ve eklerin üzerine gelip bekleyin.

Bilinmeyen kaynaklardan yazılım yüklemekten kaçının. Makûs emelli evraklar içerebilirler.

Tüm bilgisayarlarda ve taşınabilir cihazlarda güçlü bir güvenlik tahlili kullanın.

Hürriyet