Los gobiernos que nos espían y cómo lo hacen: Se filtra el código de FinFisher y sus clientes

En el mundo del ciberespionaje existen algunas empresas que se han dedicado a crear piezas de software para infectar y controlar los equipos de las personas vigiladas. Dicho así suena a que son empresas que hacen herramientas de hacking para hacer botnets e instalar R.A.T.s en los equipos de sus víctimas. Y es cierto, es lo que hacen, lo que sucede es que su objetivo es que lo utilicen los países y gobiernos dentro de la legalidad vigente de su país. 

Este tipo de herramientas las hemos visto muchas veces en incidentes en el pasado. Por ejemplo, cuando el grupo Anonymous hackeao la empresa HBGary, entre muchos de los servicios que esta empresa vendía al gobierno de los Estados Unidos, se encontró información de Task B y 12 Monkeys, el software de espionaje que vendía al gobierno.

En el caso de las revueltas populares en Egipto durante la Primavera Árabe, se pudo ver como el gobierno de El Cairo habría comprado FinFisher, el software de espionaje de la empresa Gamma. Este software ha sido famosos en muchos otros incidentes de espionaje de Internet, y en el informe de "Enemigos de Internet" se pudo ver cómo aparecía en muchos sitios. 

A la lista de software de espionaje hay que sumar también a la empresa Hacking Team, quienes están detrás del desarrollo de Galileo, un malware de espionaje que se ha hecho popular este tiempo atrás por ser descubierto que para infectar los terminales iPhone espera a que se conecte el equipo a un terminal pareado y le realiza el jailbreak completo para luego instalar el troyano. 

El filtrado del material de FinFisher

Esta semana pasada, la noticia ha sido la filtración del código y los documentos de información de la empresa Gamma, lo que ha permitido saber mucho más de FinFisher y su troyano para dispositivos móviles FinSpy, además de conocer muchos de los clientes de la empresa. El filtrado se ha hecho a través de una cuenta de Twitter que se dedica a filtrar todo lo que puede de FinFisher, llamada @GammaGroupPR, y donde están los enlaces a todo el material que se ha liberado.

Figura 3: Paneles de Control de FinFisher detectados en 25 países.

De los clientes ya se habían detectado dónde se encontraban los clientes por la ubicación de las direcciones IP de los paneles de control, que habían sido localizados en 25 países. Sin embargo, ahora, analizando diferentes detalles de toda la información que ha sido publicada se puede inferir una lista mucho más detallada de ellos, que ha sido publicada en Pastebin.

Figura 4: Algunos de los clientes inferidos en la filtración.

Lo curioso es que algunos de los clientes han aparecido tras analizar los metadatos de los documentos adjuntos en los correos electrónicos a los que se ha tenido acceso, lo que demuestra una vez que cualquier pieza de información extra puede ser utilizada. Otros de las claves PGP que se usan para intercambiar información cifrada.

Figura 5: Más clientes de FinFhiser inferidos

Por supuesto, también han salido filtrados nombres de los miembros del equipo de Gamma, así que se los estará buscando en las próximas conferencias de seguridad y hacking....

El código de FinSpy

Otro de los aspectos que se deseaba conocer es cómo funciona el software de FinSpy, del que se conocer mucha información por medio de los vídeos de promoción filtrados en el pasado. Por ejemplo, se sabe que usando un man in the middle se usa el truco de ofrecer una actualización de Flash a los clientes o que en el pasado se ha utilizado un bug de Evil Grade en Apple iTunes para infectar equipos OSX, pero no se tenían detalles del código.

Por ejemplo, se pudo saber en el pasado cómo funcionaba el troyano de espionaje de FinSpy para iOS, para lo que usan un Provisioning Profile, técnica conocida para el hacking de iPhones, o fraudulentas para Android, pero ahora se puede acceder al código fuente de las R.A.T.S. de BlackBerry, Symbian, Windows Mobile o Android, en diferentes versiones, lo que da mucha más información de cómo está construido este software.

Figura 7: Versiones de FinSpy de FinFisher filtradas. Clic para descargar el zip

Al final es un malware más, solo que con ellos supuestamente está creado para ser utilizado bajo supervisión legal, pero... algunos de sus clientes parece que se han hecho la ley a su medida. En fin, centrándonos en la parte técnica, seguro que disfrutas, y si estabas buscando un proyecto de investigación para una Conferencia, un Proyecto de Fin de Carrera o Máster, el analizar el funcionamiento de estos bichos seguro que es interesante.