Antivirenforscher von ESET haben eine neue Variante der Überwachungssoftware FinFisher entdeckt, die in mindestens sieben Staaten zum Einsatz kam. Neben klassischen Infektionswegen konnten sie in zwei Staaten beobachten, wie die Malware auf einem eher ungewöhnlichen Weg – nämlich unter Mitwirkung von Internetprovidern – auf Rechner geschleust wurde. Um ausgewählten Opfern den Spionage-Trojaner unterzujubeln, leiteten sie beabsichtigte Downloads legitimer Software um.



Immer dann, wenn ein Opfer eine gängige Software wie Putty, Skype, TrueCrypt, VLC Player, WhatsApp oder WinRAR herunterladen wollte, schickten die Provider dessen Browser per Umleitung (HTTP 307 Temporary Redirect) zu einem von den Angreifern kontrollierten Downloadserver. Die dort heruntergeladene Software war voll funktionsfähig, installierte aber in einigen Fällen den huckepack eingeschleusten Trojaner mit. Die Entscheidung über die Malware-Installation auf dem jeweiligen Zielrechner wurde serverseitig – also erst nach dem Redirect – getroffen. Nach welchen Kriterien dies geschah, ist bislang unklar.

Laut ESET sind für die beschriebene Strategie weder ein Zero-Day-Exploit, wie er kürzlich im Zusammenhang mit FinFisher beobachtet wurde, noch Administratorenrechte nötig. Wurde der Weg über den Provider tatsächlich gewählt, dann dürfte es der erste bekannt gewordene Einsatz einer auf WikiLeaks dokumentierten, FinFlyISP genannten Deployment-Lösung sein, die exakt den beschriebenen Infektionsweg beherrschen soll.



Motive unklar, Redirects noch immer aktiv

Den Antivirenexperten von ESET zufolge wurde die betreffende FinFisher-Variante bislang schätzungsweise über 100 Mal in mindestens sieben Ländern installiert. Die Angriffe seien nicht großflächig, sondern sehr gezielt erfolgt. Auf Nachfrage von heise Security erklärte Candid Wüest, Principal Security Engineer bei Symantec, dass die entsprechenden exe-Files unter anderem in den USA, Frankreich, Deutschland, Japan gesichtet wurden, aber auch in Staaten mit Demokratiedefiziten wie der Türkei und Ägypten. Auch Marco Preuss, Director des europäischen Global Research & Analysis Teams von Kaspersky, bestätigte Dateifunde auf Rechnern in der Türkei.

Laut ESET sind die bereits im April 2016 von den Providern eingerichteten Umleitungen nach wie vor aktiv. Alle Opfer nutzten unverändert denselben, innerhalb eines Landes jeweils identischen Provider. Auf Nachfrage erklärte ESET, dass man aus Gründen des Datenschutzes und der Sicherheit nicht in der Lage sei, mit den Opfern in Kontakt zu treten, um sie vor der womöglich noch immer bestehenden Gefahr zu warnen. Die betroffenen Länder nebst jeweils beteiligten Providern will ESET – ebenfalls "aus Sicherheitsgründen" – nicht nennen. Ungeklärt bleibt auch die Frage nach den Verantwortlichen und ihren Motiven.

Hoher Aufwand, um unter dem Radar zu fliegen



Gut einen Monat Arbeitszeit investierte der damit betraute ESET-Mitarbeiter in die Analyse der neuen FinFisher-Variante. Sie bringe diverse neue Methoden mit, um sich ihrer Entdeckung und anschließenden Untersuchung zu entziehen, darunter Techniken gegen Analysen in einer Sandbox, gegen das Debugging, gegen virtuelle Umgebungen und gegen Emulation. Der komplette Code des Schädlings sei gespickt mit Tricks gegen das Disassemblieren. Außerdem setzen die Programmierer auf eine bislang nicht gesehene, wahrscheinlich selbst entwickelte Methode zur Code-Virtualisierung zum Schutz ihrer Komponenten. (ovw)