公民实验室(Citizen Lab)的一项新调查显示,政府使用FinFisher软件的数量开始上升。在过去的几年里,该实验室的研究人员一直在监控集权政府对类似监控软件的使用。
FinFisher软件简介
研究人员跟踪服务器的物理定位发现,它们受控于德国某公司的FinFisher GmbH基础设施。这套基础设施旨在涵盖操作者和黑客的身份,FinFisher主控服务器称为FinSpy Master,而中继服务器称为FinSpy Relays,他们是作为CC攻击的命令控制端。
FinFisher软件一旦感染目标机,会与中继服务器通信,作为一个终端节点连接到主服务器。
FinFisher监控系统
公民实验室的专家使用了Zmap扫出了135台服务器,其中包括FinSpy Master和FinSpy Relays。专家解释道,只有主服务器通常部署在用户那里,中继服务器可以位于其他位置。
公民实验室发出了一份报告:
“在2014年-2015年间,通过在FinFisher样本中提取的指纹信息,我们采用Zmap扫描了整个IPV4网络段。最终,我们得到了135台匹配的指纹,我们可以肯定它们是FinSpy Masters和FinSpy Relays。”
有趣的是,对用于保护主服务器身份的中继服务器的分析,让公民实验室的人发现了主控服务器的位置。
FinFisher地址的泄露
如果有人试图用普通浏览器访问某个FinSpy Relay,它会给你提供一个伪造的页面,通常是Google.com或者Yahoo.com。如果伪造的页面为Google,你查询my ip address,它会给你回显FinSpy Master的真实地址。
公民实验室还表示:
“尽管FinFisher服务器的伪造页面大部分都是Google.com或者Yahoo.com,我们仍然发现了一些有意思的东西。FinSpy Relays取得的是从FinSpy Master上面返回的伪造内容,所以在不少案例中,里面的数据包是FinSpy Master的定位数据。比如这些页面可能会嵌入服务器的IP和当地的天气,这会泄露FinSpy Masters的定位数据。”
在伪造的Yahoo页面中,公民实验室还使用了另一种方法来获取FinSpy Master的定位。事实上,雅虎会用它来在主页上显示自定义的天气信息和新闻,WEB页面的源码因此泄露了FinSpy Masters的定位数据。
公民实验室的专家强调,服务器返回伪造页面的数量随着时间的推移正在下降,研究人员在32个国家发现了FinFisher用户。据上一次的分析,通过伪造内容指纹扫描,能在16个国家里识别出FinFisher用户。最新发现的国家以及地区有:安哥拉、埃及、加蓬、约旦、哈萨克斯坦、肯尼亚、黎巴嫩、摩洛哥、阿曼、巴拉圭、沙特阿拉伯、斯洛文尼亚、西班牙、台湾、土耳其和委内瑞拉。
在某些特定的情况下,专家能根据特定的IP地址标识跟踪到政府办公室。去年,政府FinFisher系统曾被攻击,黑客放出了约40GB的数据。
