7:54
15/9/2014

WikiLeaks opublikowało dziś 4 część tzw. SpyFiles. Tym razem udostępnione archiwum zawiera informacje na temat rządowego trojana o nawie FinFisher, który jest sprzedawany wielu krajom. Informacje udostępnione przez WikiLeaks to najprawdopodobniej uporządkowane dumpy bądące wynikiem niedawnego włamania na serwery FinFishera — miesiąc temu włamywacz wykradł ponad 40GB danych.

FinFisher — rządowy trojan na sprzedaż

O FinFisherze, komercyjnym, rządowym trojanie produkowanym przez Niemców (ale w ramach brytyjskiej Gamma Group) po raz pierwszy informowaliśmy w 2011 roku, kiedy to niemiecki klub komputerowy poddał analizie trojana, którego nazwali R2D2. Rok później, analiza wykazała, że trojan ten jest używany nie tylko przez Niemcy. W międzyczasie potwierdzono też, że niemieckie służby oficjalnie szukają programistów od rozwoju swojego Bundes Trojana.

WikiLeaks podzieliło swoją publikację na 4 działy. Udostępniono binarki windowsowego klienta FinFishera oraz jego serwer CC, licząc na to, że oprogramowanie zostanie poddane wnikliwej analizie przez społeczność. Dodatkowo, WikiLeaks posegregowało dokumentację trojana i inne broszury informacyjne. Można je pobrać stąd. Jest też pełna lista klientów — choć tożsamość nie wszystkich z nich udało się ustalić. Oprócz loginów i hashy haseł klientów opublikowano także informacje o liczbie licencji zakupionych przez daną organizację/kraj.

Klienci FinFishera - fragment

Klienci FinFishera – fragment wykradzionej bazy MySQL

Polski nie ma (jawnie) na liście. Ale znajdziemy na niej naszych sąsiadów, Słowaków, którzy mają (mieli?) dysponować 39 licencjami. Dochody z FinFishera szacuje się na 50 000 000 Euro.

PS. Niedawno pojawiły się też ciekawe raporty dotyczące rządowego trojana o nazwie Remote Control System autorstwa włoskiej firmy Hacking Team, na którego ślad trafiono także w polskich klasach adresowych.

Przeczytaj także:

19 komentarzy

Dodaj komentarz
  1. Teraz trzeba tylko zadać pytanie ile programów AV ma wpisany ten trojan na stałe w whitelist.

    • trafna uwaga

    • W jakim sensie wpisane w whitelistę?

    • od teraz tak, sygnatury plików powinny szybko trafić do baz danych antywirusów, ale to chwilowe, zaraz Gamma zaktualizuje swoje paczki.

  2. Brakuje sekcji “Jestem klientem FinFishera – co robić, jak żyć?”

  3. na linuxie pewnie nie dziala ;D

  4. *Bundestrojana

  5. Z opisu wynika, że trojan jest na Windowsa, a na Linuksach pracują serwery pośredniczące w zbieraniu danych z wielu zainfekowanych maszyn.

  6. A to nie było tak, że binarki w tym wycieku były jak większość danych zaszyfrowane? Czyli jeśli te dane są z wycieku to by znaczyło, że udało im się je odszyfrować. Byłoby miło. Przydało by się w końcu to 50GiB zapychające dysk i czekające na możliwość szybszej faktoryzacji RSA :)

  7. No ale nie działa jeżeli używam wersji linuxa w wersji tails czyli live cd bo na live cd nie da się czegoś zainstalować prawda? I dalej tails jest przekonfigurowany tak, by nie tylko przeglądarka, ale cały ruch szedł przez tor, a mim zmartwierniem jest tylko to, żeby to co idzie przez tor było https bo jak nie to węzeł końcowy widzi prawda?

  8. Z FInSpy user manual docx:
    Currently supported are the following Operating Systems:
    -Microsoft Windows:
    -Microsoft Windows 2000 Clean / SP1 / SP2 / SP3 / SP4
    -Microsoft Windows XP Clean / SP1 / SP2 / SP3
    -Microsoft Windows Vista Clean / SP1 / SP2 / SP3 (32 Bit & 64 Bit)
    -Microsoft Windows 7 Clean / SP1 (32 Bit & 64 Bit)
    Apple MacOS:
    -Mac OS X 10.6.0 – 10.7.2 (Intel)
    Linux:
    -Ubuntu / Debian
    -Fedora / RedHat
    -BackTrack
    SuSE

    • Ósemki nie ma na liście? Baaardzo dziiiwne… ;]
      :D

  9. Kiedyś odnalazłem taką stronę, więc jak ktoś chce się w to bawić to zapraszam, choć osobiście nie mam manii prześladowczej i używam oryginalnego windows-a. Strona dobra dla maniaków tożsamych z bezpieczeństwem: http://prism-break.org/en/

  10. Admin! To nie jest strona dla tych z mania prześladowcza ale raczej dla tych co chca znaleźć bezpieczne oprogramowanie!!!

  11. […] Reverse Engineering FinFishera, czyli rządowego trojana, o którym pisaliśmy tu. […]

  12. mi dobrze jest na ubuntu z wlaczonym firewallem i clam-em i jakos nie wiem czym jest wirus a przyjaciolce instalowalem komercyjnego antywira powgrywac musialem wszedzie aktualizacje i na koncu emet a to zajelo mi trzy dni a linuxa postawic i poustawiac reguly jak na serwer by byl bezpieczniejszy poszlo znacznie szybciej i dzial szybciej niz win

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.