Également connu sous le nom de FinSpy ou Wingbird, FinFisher est un logiciel de surveillance, suivi par Kaspersky depuis 2011. Il est capable de rassembler diverses informations d’identification, des listes de fichiers, des fichiers supprimés ainsi que d’autres types de documents. FinFisher est également en mesure de récolter, des informations liées au streaming en live ou à l’enregistrement de données et peut contrôler les webcams et le microphone. Ses implants Windows ont été détectés et étudiés à plusieurs reprises par les équipes de Kaspersky jusqu’en 2018 avant de disparaître des radars.

Les solutions Kaspersky ont détecté par la suite des installateurs suspects issus d’applications légitimes comme TeamViewer, VLC Media Player et WinRAR, contenant des codes malveillants qui ne pouvaient être rattachés à aucun malware connu. Jusqu’au jour où les chercheurs de Kaspersky découvrirent un site Web en langue birmane hébergeant les installateurs infectés et des échantillons de FinFisher pour Android, leur faisant comprendre que ces derniers dissimulaient un cheval de Troie du même spyware. Cette découverte les a encouragés à poursuivre leurs investigations.

Contrairement aux versions précédentes injectant le cheval de Troie immédiatement dans l’application infectée, les nouveaux échantillons étaient protégés par deux composants : un module de pré-validation non persistant et un autre de post-validation. Le premier composant exécute plusieurs contrôles de sécurité pour s’assurer que l’appareil qu’il est en train d’infecter n’appartient pas à un chercheur en sécurité. Une fois ces contrôles de sécurité terminés, le composant post-validation est fourni par le serveur, garantissant que la victime infectée est bien celle ciblée par le pirate. A la suite de quoi le serveur commande le déploiement du cheval de Troie dans son intégralité.

FinFisher présente quatre niveaux d’obfuscation complexes et sur mesure. La fonction première de cette obfuscation est de ralentir l’analyse du logiciel espion. Le cheval de Troie met également en œuvre des moyens précis pour recueillir des informations, utilisant par exemple les outils de développement dans les navigateurs pour intercepter le trafic protégé par le protocole HTTPS.

Les chercheurs ont également découvert un échantillon de FinFisher en lieu et place du chargeur de démarrage UEFI Windows – un composant chargé de démarrer le système d’exploitation avec un autre composant malveillant après le lancement du firmware. Cette méthode d’infection permet aux attaquants d’installer un bootkit sans avoir à contourner les contrôles de sécurité du firmware. Les infections UEFI sont très rares et généralement difficiles à exécuter, elles se distinguent par leurs capacités d’évasion et leur persistance. Même si dans ce cas, les hackers n’ont pas infecté le firmware UEFI lui-même mais son étape de lancement, l’attaque était particulièrement furtive car le module malveillant était installé sur une partition séparée et pouvait directement contrôler le processus de démarrage de la machine infectée.

« Les efforts déployés par les développeurs de FinFisher pour le rendre inaccessible aux chercheurs en sécurité sont particulièrement inquiétants et impressionnants. Il semblerait qu’ils aient mis autant d’énergie dans les mesures d’obfuscation et d’anti-analyse que dans le cheval de Troie lui-même. Par conséquent, sa capacité à échapper à toute détection et analyse rend ce logiciel espion particulièrement difficile à suivre et à détecter. Le fait qu’il soit déployé avec une grande précision et soit pratiquement impossible à analyser signifie également que ses victimes sont vulnérables et qu’il impose un défi de taille aux chercheurs en cybersécurité : allouer une quantité importante de ressources pour démêler chaque échantillon. Je pense que les menaces complexes telles que FinFisher démontrent l’importance de la coopération et des échanges éclairés entre chercheurs. Il met également en avant les besoins en investissement dans de nouveaux types de solutions de sécurité capables de lutter contre ces menaces. » commente Igor Kuznetsov, principal security researcher au sein de la Global Research and Analysis Team (GReAT) de Kaspersky.

Lire le rapport complet sur FinFisher sur Securelist.

Pour se protéger contre des menaces telles que FinFisher, Kaspersky recommande de :
– Télécharger les applications et programmes à partir de sites Web de confiance.
– Mettre régulièrement à jour son système d’exploitation et tous ses logiciels. De nombreuses questions de sécurité peuvent ainsi être facilement résolues grâce aux mises à jour logicielles.
– Se méfier par défaut des pièces jointes. Avant de cliquer pour ouvrir une pièce jointe ou suivre un lien, bien réfléchir s’il s’agit d’une personne connue et de confiance. Ce message était-il prévu ? Est-il correctement rédigé ? Survoler les liens et les pièces jointes pour bien vérifier leur dénomination et leur destination réelle.
– Éviter d’installer des logiciels provenant de sources inconnues. Ils peuvent contenir - et contiennent souvent - des fichiers malveillants.
– Utiliser une solution de sécurité éprouvée sur tous les ordinateurs et appareils mobiles, telles que Kaspersky Internet Security for Android ou Kaspersky Total Security.

Pour la protection des entreprises, Kaspersky recommande de :
– Configurer une stratégie de sécurité destinée à l’utilisation de logiciels hors du périmètre de l’entreprise. Informer ses collaborateurs des risques liés au téléchargement d’applications non autorisées à partir de sources non fiables.
– Proposer à ses collaborateurs une formation basique en matière d’hygiène de la cybersécurité ; de nombreuses attaques ciblées utilisant des vecteurs tels que le phishing ou d’autres techniques d’ingénierie sociale.
– Installer des solutions anti-APT et EDR, permettant la détection des menaces, l’investigation et la remédiation rapide des incidents. Fournir à votre équipe SOC un accès aux dernières informations sur les menaces et les former de manière régulière. L’ensemble de ces actions est disponible au sein du framework Kaspersky Expert Security.
– En plus d’une protection adéquate des endpoints, des services dédiés peuvent aider à contrer les attaques. Le service Kaspersky Managed Detection and Response accompagne les entreprises dans l’identification et la maitrise des attaques à un stade précoce, avant que les pirates n’aient le temps d’atteindre leurs objectifs.