Tổ chức Ân xá Quốc tế hôm nay đã tiết lộ chi tiết về một chiến dịch giám sát mới nhằm vào các tổ chức xã hội dân sự Ai Cập với các phiên bản phần mềm gián điệp FinSpy chưa được tiết lộ trước đây được thiết kế để nhắm mục tiêu vào các hệ thống Linux và macOS.
Được phát triển bởi một Công ty ĐứcFinSpy là phần mềm gián điệp cực kỳ mạnh mẽ đang được bán như một công cụ thực thi pháp luật hợp pháp cho các chính phủ trên thế giới nhưng cũng đã từng tìm đang được các chế độ áp bức và đáng ngờ sử dụng để theo dõi các nhà hoạt động.
FinSpy, còn được gọi là FinFisher, có thể nhắm mục tiêu cả hệ điều hành máy tính để bàn và di động, bao gồm Android, iOS, Windows, macOS và Linux, để có được khả năng gián điệp, bao gồm bí mật bật webcam và micrô của họ, ghi lại mọi thứ nạn nhân nhập trên bàn phím , chặn cuộc gọi và lọc dữ liệu.
Theo tổ chức nhân quyền ân xá Quốc tế, chiến dịch mới được phát hiện không liên quan đến ‘NilePhish,’ một nhóm hack nổi tiếng với việc tấn công các tổ chức phi chính phủ Ai Cập trong một loạt các cuộc tấn công, liên quan đến phiên bản FinSpy cũ hơn, lừa đảo kỹ thuật, và Flash Player độc hại tải xuống.
Thay vào đó, các phiên bản FinSpy mới dành cho Linux và macOS, cùng với Android và Windows, đã được sử dụng bởi một nhóm hack mới không xác định, mà họ tin rằng được nhà nước tài trợ và hoạt động kể từ tháng 9 năm 2019.
Được tải lên trên VirusTotal, tất cả các mẫu phần mềm độc hại mới đã được phát hiện như một phần trong nỗ lực không ngừng của Tổ chức Ân xá Quốc tế nhằm tích cực theo dõi và giám sát các hoạt động của NilePhish.
Các mã nhị phân mới được làm xáo trộn và dừng các hoạt động độc hại khi nó phát hiện ra chính nó đang chạy trên một máy ảo, khiến các chuyên gia khó phân tích phần mềm độc hại.
Hơn nữa, ngay cả khi một điện thoại thông minh được nhắm mục tiêu không được root, phần mềm gián điệp vẫn cố gắng giành quyền truy cập root bằng các cách khai thác đã tiết lộ trước đó.
Các nhà nghiên cứu cho biết: “Các mô-đun có sẵn trong mẫu Linux gần như giống hệt với mẫu MacOS.
“Các mô-đun được mã hóa bằng thuật toán AES và được nén bằng thư viện nén aplib. Khóa AES được lưu trữ trong tệp nhị phân, nhưng IV được lưu trữ trong mỗi tệp cấu hình cùng với mã băm MD5 của tệp được giải nén cuối cùng.”
“Phần mềm gián điệp giao tiếp với máy chủ Command & Control (C&C) bằng cách sử dụng các yêu cầu HTTP POST. Dữ liệu gửi đến máy chủ được mã hóa bằng các chức năng do mô-đun 7F cung cấp, được nén bằng máy nén tùy chỉnh và được mã hóa base64.”
Trong khi đó, các nhà nghiên cứu cũng đã đưa ra các chỉ số về sự thỏa hiệp (IoC) để giúp các nhà nghiên cứu điều tra thêm về các cuộc tấn công này và người dùng kiểm tra xem máy của họ có nằm trong số các máy bị xâm nhập hay không.
Các nhà nghiên cứu của Kaspersky năm ngoái đã tiết lộ một chiến dịch gián điệp mạng tương tự, nơi ‘sau đó mới’ Cấy ghép FinSpy cho iOS và Android đã được sử dụng để theo dõi người dùng từ Myanmar.
