首页
社区
课程
招聘
32个国家被部署了政府监控软件FinFisher
发表于: 2015-10-21 09:14 1180

32个国家被部署了政府监控软件FinFisher

2015-10-21 09:14
1180
新闻链接:http://netsecurity.51cto.com/art/201510/494247.htm
   新闻时间:2015-10-20
   新闻正文:
公民实验室(Citizen Lab)的一项新调查显示,政府使用FinFisher软件的数量开始上升。在过去的几年里,该实验室的研究人员一直在监控集权政府对类似监控软件的使用。

32个国家被部署了政府监控软件FinFisher

FinFisher软件简介

研究人员跟踪服务器的物理定位发现,它们受控于德国某公司的FinFisher GmbH基础设施。这套基础设施旨在涵盖操作者和黑客的身份,FinFisher主控服务器称为FinSpy Master,而中继服务器称为FinSpy Relays,他们是作为CC攻击的命令控制端。

FinFisher软件一旦感染目标机,会与中继服务器通信,作为一个终端节点连接到主服务器。

FinFisher监控系统

公民实验室的专家使用了Zmap扫出了135台服务器,其中包括FinSpy Master和FinSpy Relays。专家解释道,只有主服务器通常部署在用户那里,中继服务器可以位于其他位置。

公民实验室发出了一份报告:

“在2014年-2015年间,通过在FinFisher样本中提取的指纹信息,我们采用Zmap扫描了整个IPV4网络段。最终,我们得到了135台匹配的指纹,我们可以肯定它们是FinSpy Masters和FinSpy Relays。”

有趣的是,对用于保护主服务器身份的中继服务器的分析,让公民实验室的人发现了主控服务器的位置。

32个国家被部署了政府监控软件FinFisher

FinFisher地址的泄露

如果有人试图用普通浏览器访问某个FinSpy Relay,它会给你提供一个伪造的页面,通常是Google.com或者Yahoo.com。如果伪造的页面为Google,你查询my ip address,它会给你回显FinSpy Master的真实地址。

公民实验室还表示:

“尽管FinFisher服务器的伪造页面大部分都是Google.com或者Yahoo.com,我们仍然发现了一些有意思的东西。FinSpy Relays取得的是从FinSpy Master上面返回的伪造内容,所以在不少案例中,里面的数据包是FinSpy Master的定位数据。比如这些页面可能会嵌入服务器的IP和当地的天气,这会泄露FinSpy Masters的定位数据。”

在伪造的Yahoo页面中,公民实验室还使用了另一种方法来获取FinSpy Master的定位。事实上,雅虎会用它来在主页上显示自定义的天气信息和新闻,WEB页面的源码因此泄露了FinSpy Masters的定位数据。

公民实验室的专家强调,服务器返回伪造页面的数量随着时间的推移正在下降,研究人员在32个国家发现了FinFisher用户。据上一次的分析,通过伪造内容指纹扫描,能在16个国家里识别出FinFisher用户。最新发现的国家以及地区有:安哥拉、埃及、加蓬、约旦、哈萨克斯坦、肯尼亚、黎巴嫩、摩洛哥、阿曼、巴拉圭、沙特阿拉伯、斯洛文尼亚、西班牙、台湾、土耳其和委内瑞拉。

32个国家被部署了政府监控软件FinFisher

在某些特定的情况下,专家能根据特定的IP地址标识跟踪到政府办公室。去年,政府FinFisher系统曾被攻击,黑客放出了约40GB的数据。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//