Les fournisseurs d'accès Internet impliqués dans les campagnes d'espionnage FinFisher ?
Des indices relayés par ESET le suggèrent

Le , par Patrick Ruiz

47PARTAGES

8  0 
À la question de savoir à quoi renvoie l’acronyme FinSpy, l’on serait tenté de répondre qu’il s’agit d’un film d’espionnage ou d’un espion et, ce ne serait pas se tromper de beaucoup. Il s’agit en effet de l’un des produits d’une gamme de produits de surveillance et d’intrusion informatique dénommée FinFisher, laquelle est développée par la société britannique Gamma Group. Des agences gouvernementales et des services de renseignement s’en servent contre leurs cibles d’après le rapport de la firme slovaque.

Ses concepteurs ont usé de contrefaçon du navigateur Firefox pour propager leurs charges malicieuses il y a quelques années. Une publication d’ESET parue hier révèle que les fournisseurs d’accès Internet seraient impliqués dans le processus de déploiement de ces applications vérolées, d’après ce qui semble être le rapport d’investigations menées dans deux pays atteints (non cités pour des raisons de sécurité) par de nouvelles variantes.


Le processus d’infection commence avec une tentative de téléchargement d’une application populaire sur un site Web légitime. Après un clic sur le lien de téléchargement, le navigateur est redirigé vers un serveur qui lui sert une version vérolée de l’application recherchée. Il faudra se méfier des applications comme WhatsApp, Skype, Avast,Winrar et VLC puisque mentionnées dans la publication.

Toutes choses qui, en principe, devraient donner froid dans le dos quand on se souvient qu’il s’agit de logiciels dont la popularité ne souffre d’aucune contestation et, via lesquels un outil de surveillance pourrait s'installer sur un ordinateur. Pour rappel, cette gamme de produits FinFisher permet à un attaquant d’espionner via une webcam ou un microphone ou de procéder à l’exfiltration des données d’un ordinateur à l’insu de son possesseur.


Les fournisseurs d’accès Internet dans le viseur d’ESET… d’accord, mais pourquoi ?

  • Il faut d’abord mentionner que la gamme de produits FinFisher compte également FinFly ISP dans ses rangs. Il s’agit d’une solution à installer sur les infrastructures d’un fournisseur d’accès à Internet. D’après la fiche de présentation de ce produit, il suffit que le système ait connaissance des identifiants d’accès au réseau du FAI pour être en capacité de déployer une charge malicieuse qui génèrent des redirections de trafic similaires à celles mentionnées dans le rapport.
  • Les chercheurs de la firme ESET relèvent par la suite que la redirection http 307 est implémentée de la même façon dans les deux pays affectés, un facteur qui se couple bien au 3e souligné par la firme et selon lequel toutes les cibles au sein d’un même pays ont le même fournisseur d’accès à Internet.

Attention, ajouter Threema à sa liste d’applications à surveiller

Les utilisateurs en quête de chiffrement de bout en bout utilisent WhatsApp ou des alternatives comme Threema. C’est probablement la raison pour laquelle des applications comme celle-ci se retrouvent mentionnées dans cette étude puisqu’en téléchargeant une version vérolée, la victime fait d’une pierre deux coups. Elle établit une communication chiffrée avec ses correspondants, mais en arrière-plan, l’espion de Gamma Group fait le boulot.

Source : ESET, fiche de présentation FinFly ISP (PDF)

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi :

Microsoft corrige une vulnérabilité zero-day dans Office qui a été utilisée pour déployer le spyware FinSpy

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de
https://www.developpez.com
Le 24/09/2017 à 11:45
Il n'y a pas qu'eux, le chiffrement aussi permet de trouver un utilisateur ou hardware précis (comme le permet l’authentification HTTPS) sur un réseau privé en passant par Internet et un petit coup de pouce des comptes en ligne tel gmail, outlook, etc...

Investir dans la philosophie Linux Trail est déjà presque se couper du monde pour ne pas se faire repéré... Comme une réseau pro qui ne souhaite pas de baisse de niveau de sécurité. Donc il réserve un canal/bande passante pour son usage "perso pro d'accès public plus ou moins limité, ou interdit" et un autre pour les occupants persos d'usage perso donc bifurqué vers le "public"...
0  0 

 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web