1

Campaña de FinFisher requieren ayuda de teleoperadores según ESET

¿Recuerda todo el escándalo en torno al software espía gubernamental FinFisher de los pasados meses? ESET señala que hay proveedores de Internet que lo facilitaron.

CIO AMÉRICA LATINA | Por Elibeth Eduardo | @ely_e

Hace algunos meses, la región de América Latina recibió mucha información de distintas fuentes sobre el software FinFisher, también conocido como FinSpy.

¿Por qué? Porque activistas de derechos humanos vinculados con el caso de la desaparición de estudiantes universitarios mexicanos denunciaron que e gobierno los vigilaba electrónicamente en forma ilegal a través de este software.

El mismo – según TODOS pudimos saber – cuenta con amplias capacidades de espionaje incluyendo:

  • Vigilancia en tiempo real a través de cámaras web y micrófonos.
  • Keylogging y extracción de archivos.

Y, si piensa que eso no es nada del otro mundo, tiene razón. El problema es que FinFisher no es malware y esta asociado a prácticas ilegales que contratan los gobiernos, generalmente dictatoriales y opresivos.

No fue una buena noticia que el gobierno de México estuviese en una foto que, en teoría, no le corresponde.

Según ESET

Los investigadores especializados de la firma de ciberseguridad ESET han determinado que la más reciente versión del programa ha incluido “mejoras” en cuanto a ampliar sus capacidades de espionaje, mantenerse bajo el radar y evitar aparecer en análisis.

Pero, especialmente, lo más novedoso sobre las nuevas campañas son los términos de distribución.

¿Por qué? Porque se usa un ataque en el cual se interceptan las comunicaciones de las potenciales víctimas, siendo probablemente un ISP el intermediario.

Este vector se utilizó en dos de los países en los que los sistemas de ESET detectaron el último spyware de FinFisher. En los cinco países restantes, las campañas se valían de vectores de infección tradicionales.

“En dos de las campañas, el spyware se ha propagado a través de un ataque con intermediario y creemos que los proveedores de Internet han desempeñado ese papel”, explicó Filip Kafka, el ESET Malware Analyst que realizó la investigación.

No sólo el cómo

Según indica el reporte de ESET, el ataque comienza con una alteración al sitio de descarga oficial de Whatsapp, Skype o VLC Player.

Luego de que el usuario hace clic en el enlace de descarga, su navegador recibe un enlace modificado y es redirigido a un paquete de instalación troyanizado, alojado en el servidor del atacante.

Cuando se descarga y ejecuta el programa, no solo instala la aplicación legítima que el usuario esperaba, sino también al spyware FinFisher.


“Durante nuestras investigaciones, encontramos una serie de indicadores que sugieren que la redirección está ocurriendo a nivel del servicio de un proveedor de Internet importante”, comenta Kafka.

Esas son las “bad news”

¿Podría ser esto una buena noticia desde alguna óptica? Tal vez.

Puede que sea preocupante que su gobierno quiera invadir su privacidad. Y, de seguro, no ayuda que su proveedor de Internet lo haga posible.

Es, sin embargo, bastante alentador que una cosa no pueda pasar sin la otra.

Según el experto, estas campañas son las primeras en las que se ha dado a conocer públicamente la probable implicación de un importante proveedor de Internet en la difusión de malware.

“Estas campañas FinFisher son sofisticados y sigilosos proyectos de vigilancia, sin precedentes en su combinación de métodos y alcance”, agrega.

La palabra clave aquí es “Sin precedentes”. Es decir, nunca antes había ocurrido. Quizás podamos soñar con que, después de todo, no va a volver a pasar.