gamma-finfisher

في العام 2011 استطاع المتظاهرون في مصر اقتحام مقر مباحث أمن الدولة، وعثر في داخل المقر على مراسلات بين المباحث وشركة بريطانيّة تسمى “غاما”، تشير هذه المراسلات إلى استخدام المباحث على مدى 5 شهور لمجموعة أدوات قامت الشركة بتطويرها تحت اسم “فين فيشر” (FinFisher).

بعد انتشار الخبر، وتقصّي الخبراء عن هذا البرنامج، اتضح أنه أداة للتجسس على نشاط المستخدمين على الإنترنت، ويتمتع هذا البرنامج بقدرات عالية.

في العام 2012 ظهر تقرير آخر يشير إلى استلام نشطاء من البحرين رسائل بريد إلكتروني تحتوي على ملفات تتعلق بقضايا تخص حقوق الإنسان مثل التعذيب والاعتقال، قام النشطاء حينها بتمرير هذه الرسائل إلى وكالة أخبار “بلومبرغ” التي قامت بدورها بإرسالها إلى “سيتزن لاب” لتحليلها.

image1-500

نتائج التحليل بيّنت أن هذه الملفات المرفقة تقوم بتنصيب برمجيات خبيثة على أجهزة المستخدمين عند فتحها بهدف التجسس عليهم، وتميّزت هذه البرمجيات الخبيثة بتقنيات عالية، حيث تقوم بإخفاء نفسها ضمن ملفات النظام، وتتحقق من عدم كشفها من قبل مضادات الفيروسات قبل تفعيل نفسها على الجهاز المستهدف، ثم الاتصال بمخدّم الأوامر الذي قام بخلق هذه البرمجية (وهو في هذه الحالة مخدّمات الحكومة).

لم يقتصر استخدام “فين فيشر” على الدول العربية فقط، فحتى هذه اللحظة لا زالت شركة “غاما” تبيع نسخاً من البرنامج للحكومات، حيث يشير آخر التقارير في آذار/مارس 2014، أن مواطناً أمريكياً رفع دعوى قضائية ضد الحكومة الإثيوبية لاستخدامها برنامج “فين فيشر” لتسجيل نشاطات عديدة له. الآثار التي كانت موجودة على جهازه تشير إلى أن العديد من المعلومات (ومن ضمنها عشرات المحادثات الصوتية التي أجراها على برنامج “سكايب”) تم تسجيلها أيضاً وإرسالها إلى مخدّم الأوامر الذي يشير عنوان “الآي بي” الخاص به أنه موجود في إثيوبيا.

كما أشار التحليل الذي أجري على جهازه أن البرمجية الخبيثة الخاصة بـ “فين فيشر” تم تنصيبها على جهازه أثناء فتحه لمستند “وورد” (Word) تم دمج البرمجية الخبيثة فيه ما أدى إلى إصابة جهازه.

بعد إصدار هذه التقارير، قامت “منظمة الجبهة الإلكترونية” (EFF) في شهر آذار/مارس 2013 بإدراج شركة “غاما” ضمن قائمة أعداء الإنترنت التي تنشرها بشكل سنويّ.

01-finfisher-toolset-overview

البحوث والتحليلات التي أجريت أثبتت استخدام “فين فيشر” في كل من الدول التالية حتى الآن:

أستراليا، النمسا، البحرين، بنغلادش، بريطانيا، بروناي، بلغاريا، كندا، تشيك، إستونيا، إثيوبيا، فنلندا، ألمانيا، هنغاريا، الهند، إندونيسيا، اليابان، لاتفيا، ليتوانيا، مقدونيا، ماليزيا، المكسيك، منغوليا، هولندا، نيجيريا، باكستان، بنما، قطر، رومانيا، صربيا، سنغافورة، جنوب أفريقيا، تركيا، تركمانستان، الإمارات العربية المتحدة، فيتنام، والولايات المتحدة الأمريكية.

TheirEyesMap-web

قدرات البرنامج

“فين فيشر” هو مجرد اسم لمجموعة أدوات، وداخل هذه المجموعة كل أداة لديها اسم خاص بها، سنقوم في هذا القسم بسرد هذه الأدوات وآلية عملها.

تقسم مجموعة الأدوات إلى مجموعتين:

  • أدوات سرقة المعلومات وتتطلب الوجود في مكان الجهاز (Tactical IT Intrusion Portfolio)
    • FININTRUSION KIT: تحتوي هذه الحزمة على: حاسوب محمول “لابتوب”، ذاكرة USB قابلة للإقلاع، قرص DVD قابل للإقلاع، بطاقات شبكة إضافية.

تستطيع هذه الحزمة كسر كلمات السر الخاصة بشبكات “الواي فاي” سواء كانت بتشفير WEP أو WPA أو WPA2، كما تقوم بتحليل ومراقبة بيانات الشبكة المرسلة والمستقبلة مثل اسم المستخدم وكلمة السر والرسائل المرسلة حتى وإن كانت مشفرة باستخدام بروتوكول التشفير SSL، حيث تقوم هذه العدة بتزوير الاتصال والشهادات وبالتالي القدرة على فك تشفير هذه البيانات.

  • FINUSB SUITE: تحتوي هذه الحزمة على حاسوب محمول “لابتوب”، وذاكرة USB، وقرص DVD.

عند إدخال ذاكرة الـ USB في جهاز الضحية تقوم خلال فترة زمنية قصيرة (تقدّر بـ 30 ثانية) باستخراج كافة كلمات المرور المخزّنة على الجهاز (كلمات السر في المتصفح، وبرامج المحادثة، كما تقوم باستخراج معلومات خاصة بالشبكة، مثل سجلات المحادثة وسجل التصفح وكلمات السر الخاصة بشبكة الـ “واي فاي” إضافة إلى نسخ الملفات إلى القرص مباشرة.

يتم تشفير هذه البيانات على القرص ولا يمكن فك تشفيرها إلى على الحاسوب الخاص بهذه العدة.

  • FINFIREWIRE: هذه الحزمة تستخدم في حال فشل كل من الحزم السابقة، بسبب وجود كلمة سر للمستخدم وقفل الجهاز، أو بسبب وضعه لشاشة توقف (Screensaver) محمية بكلمة سر، تحتوي هذه الحزمة على حاسوب محمول، وكابلات FireWire ومحوّلات PCMIA. باستخدام هذه العدّة يستطيع المهاجم عند وصل هذه التجهيزات بجهاز الشخص المستهدف أن يتخطى الحماية الموجودة على الجهاز واستخراج ذات المعلومات الممكن الحصول عليها باستخدام حزمة FinUSB Suite إضافة إلى استخراج كلمات السر المخزنة مؤقتاً في ذاكرة الجهاز (RAM).
  • أدوات تجسس ومراقبة عن بعد (Remote Monitoring & Infection Solutions)

يمكن تنصيب هذه الأدوات إما عن طريق الوجود في مكان الجهاز، أو عن بعد (البريد الإلكتروني والروابط مثلاً)، تجدر الإشارة إلى أن الفرق بين هذه المجموعة والمجموعة السابقة أن الأولى مهمتها فقط سرقة المعلومات (كلمات السر والملفات) ولا تقوم بتنصيب أي برمجية خبيثة، أما المجموعة الثانية فمهمتها تنصيب برمجية خبيثة والسيطرة على الجهاز لتمكين المخدّم الرئيسي من مراقبة الجهاز بشكل دائم.

تحتوي هذه المجموعة على الأدوات التالية:

  • FinSpy Agent: هو البرنامج الرئيسي المسؤول عن إنشاء البرمجيات الخبيثة، وإدارة الأجهزة المصابة، يوفر البرنامج عدة ميزات تتيح السيطرة التامة على جهاز الضحية. هذه الميزات هي:
    • إخفاء العمليات (processes) التي تقوم البرمجية الخبيثة بتشغيلها إضافة إلى إخفاء عنوان مخدّم الأوامر عن المستخدم.
    • تنفيذ عملية معيّنة عند تشغيل برنامج أو مجموعة برامج يتم تحديدها مسبقاً (على سبيل المثال: تشغيل مسجّل نقرات المفاتيح عند فتح المتصفح)
    • تحميل تلقائي لملف أو مجموعة ملفات أو مجلد من جهاز الضحية إلى مخدّم الأوامر في أوقات مجدولة (كل ساعة أو عدة ساعات أو يومياً أو أسبوعياً).
    • الوصول بسرعة إلى آخر الملفات التي تم فتحها أو تعديلها من قبل الضحية.
    • تشغيل واجهة الأوامر (Command shell) على جهاز الضحية دون أن يلاحظ أي شيء.
    • الوصول إلى الملفات المحذوفة في جهاز الضحية (سواء كانت موجودة في سلة المحذوفات أم كانت محذوفة عبر إفراغ سلة المحذوفات أو عبر اختصار Shift + Delete).
    • الوصول التام إلى كافة الأقراص والمجلدات والملفات على جهاز الضحية.
    • إضافة برامج وملفات لتشغيلها عند إقلاع نظام التشغيل
    • إضافة وإزالة تحديثات ويندوز
    • الحصول على كلمات السر الخاصة بالمتصفحات وبرامج البريد الإلكتروني وبرامج المحادثة
    • الحصول على كلمات السر الخاصة بالشبكة (واي فاي – في بي إن – إلخ)
    • تسجيل نقرات لوحة المفاتيح على جهاز الضحية
    • تحميل ورفع الملفات من وإلى جهاز الضحية
    • تسجيل الشاشة والكاميرا والميكروفون، إضافة إلى تسجيل الصوت والفيديو لبرامج المحادثة مثل سكايب.

04-finspy1-1024x583

  • FinSpy Mobile: تقوم هذه الأداة بنفس عملية FinSpy Agent ولكن للتحكم بالهواتف الجوالة المصابة، يتيح FinSpy Mobile إصابة كافة أجهزة أندرويد، وأجهزة آيفون التي تعمل بالنسخة 7.0 وما دون، وأجهزة بلاك بيري بنسخة 7.1 وما دون، وكافة الأجهزة التي تعمل بنظام التشغيل Symbian.

ويتيح البرنامج إمكانية تسجيل المكالمات الصوتية والرسائل النصية القصيرة (SMS) إضافة إلى رسائل الوسائط المتعددة (MMS) ورسائل البريد الإلكتروني، والتنصت المباشر على المكالمات فور إجرائها، وتحميل الملفات من الجهاز المصاب (الصور، الفيديو، الملفات، جهات الاتصال… إلخ)، وتتبع موقع الهاتف عبر خدمة تحديد المواقع GPS والعنوان الفريد للهاتف (CellID)، إضافة إلى تسجيل كامل للمحادثات التي يتم إجراؤها عبر تطبيق BlackBerry Messenger.

في التحاليل التي أجريت في العام 2012 على البرمجية الخبيثة، تبيّن في ما يتعلق بالأجهزة التي تعمل بنظام التشغيل iOS أنها تعمل على أجهزة آيفون4 وآيفون4 إس، وآيباد 1 و2 و3 وآيبود، والأجهزة التي تعمل بنسخة iOS 4.0 وصولاً إلى النسخة 7.0.x.

العملية التي تم تشغيلها على هذه الأجهزة كان يتم تنصيبها باسم “install_manager.app” ليتم فيما بعد دمجها مع عملية “logind” وحذف “install_manager”.

أما بالنسبة لأجهزة أندرويد، فإن البرمجية الخبيثة يتم تنصيبها كتطبيق اسمه “Android Services” وحجم التطبيق 412 كيلوبايت.

يتطلب هذا التطبيق الصلاحيات التالية: معرفة المكان الجغرافي، الوصول إلى الإنترنت، الوصول إلى حالة الهاتف، الوصول إلى حالة الشبكة، الوصول إلى جهات الاتصال، قراءة وكتابة وإرسال الرسائل النصية القصيرة، معالجة المكالمات الصادرة والواردة، التعديل على الهاتف بكامله.

بالنسبة لأجهزة “سيمبيان” فإن الشهادة التي تم استخدامها لتوقيع التطبيق المستخدم فيها تم تسجيلها باسم “جوني دبس” الذي يشير أحد مخدّمات الأوامر إلى عنوان مسجل باسمه أيضاً، يذكر أن معلومات تسجيل اسم النطاق الخاص بمخدّم الأوامر يشير إلى أن شركة “it-intrusion” التي تعود إلى “جوني دبس” موجودة في لبنان.

البرمجية الخبيثة “rlc_channel_mode_updater” والخاصة بأجهزة بلاك بيري تطلب الصلاحيات التالية: الاتصال عبر الـ USB، وإجراء الاتصالات الهاتفية والإنترنت عبر شبكة الهاتف وشبكة الواي فاي والموقع الجغرافي للجهاز، والاتصال عبر التطبيقات وتغيير إعدادات الجهاز والوصول إلى الملفات وإدارة البرامج والمتصفحات وتسجيل المكالمات والبريد الإلكتروني والرسائل وجهات الاتصال.

02-finflynet-hotel

  • FinFly USB: هي عبارة عن برمجية تم إخفاؤها ودمجها في ذاكرة USB تقوم بتوزيعها شركة “غاما”، بمجرد إدخال الذاكرة في جهاز الضحية تنتقل البرمجية الخبيثة إليه، مما يتيح التحكم الكامل بجهاز الضحية. إضافة إلى قيامها باستخراج بيانات الدخول الخاصة ببعض البرامج مثل برامج البريد الإلكتروني، والمحادثة، كما تقوم بنسخ آخر الملفات التي تم فتحها أو إنشاؤها أو التعديل عليها، إضافة إلى نسخ سجل المتصفح وسجلات المحادثة وكلمات السر الخاصة بنقاط الوصول الخاصة بالدخول إلى شبكة الإنترنت.
  • FinFly Web: هو برنامج لتصميم صفحات مزوّرة ووضع ثغرات أمنية فيها (صفحة مزورة لغوغل مثلاً) أما الثغرات الأمنية الممكن استغلالها فهي جافا وفلاش بلاير إضافة إلى استغلال ثغرات (0-day) الموجودة في المتصفحات مثلاً، في حال وجدت هذه الثغرات في الجهاز المستهدف، يحتاج المستخدم فقط زيارة الصفحة المزوّرة ليتم تحميل البرمجية الخبيثة دون علمه أو أي تدخل منه.
  • FinFly Network: هي أداة لنشر البرمجية الخبيثة على الشبكة المحلية (LAN) (مثل المستخدمة في مقاهي الإنترنت والمقاهي والمطارات والفنادق…) سواء كان متصلاً لاسلكياً “واي فاي” أو عبر كابل، ويتم نشر البرمجية على كافة أجهزة الشبكة دون الحاجة إلى تدخل المستخدم. وتقوم أيضاً بالتجسس على بيانات المستخدمين وسرقة معلوماتهم التي يرسلونها عبر الإنترنت مثل كلمات السر والبريد الإلكتروني أو اسم المستخدم.

03-finintrusionkit-traffic

  • FinFly ISP: يعمل هذا الجهاز لدى مزوّد خدمة الإنترنت ويقوم بتنفيذ هجوم “الرجل في المنتصف” ما يتيح له إمكانية تزوير الملفات التي يتم تحميلها عبر الإنترنت من قبل الجهاز المتصل بمزود الخدمة هذا، ويستبدلها بملفات تحتوي على برمجيات خبيثة.

يستطيع أيضاً إرسال إشعار للجهاز المصاب بوجود تحديث لنظام التشغيل، قد يبدو هذا التحديث أصلياً للمستخدم، ولكنه في الحقيقة يحتوي على برمجية خبيثة تتيح لمزود الخدمة التحكم الكامل بجهاز المستخدم عبر أداة FinSpy Agent.

finfisher

الاحتياطات المناسبة لتفادي الإصابة والتخلّص منها

في حال الإصابة أو الشك بالإصابة:نظراً لخطورة البرمجية الخبيثة المستخدمة من خلال “فين فيشر”، واستخدامه حتى الآن من قبل الحكومات إضافة إلى تجاوزه للعديد من برامج الحماية ومضادات الفيروسات، نحن في سايبر أرابز ننصح المستخدمين بإجراء تهيئة للقرص الصلب لديهم (Format) وتنصيب نسخة جديدة من نظام التشغيل.

أما في حال أردتم أخذ الاحتياطات اللازمة لتفادي الإصابة بالبرمجية الخبيثة الخاصة بـ “فين فيشر” قدر الإمكان قوموا بالخطوات التالية:

– تحديث نظام التشغيل دوماً (خاصةً نظام التشغيل ويندوز)

– التحقق من التحديثات أنها الأصلية، وذلك عبر نسخ الـ الرقم الخاص بالتحديث (تحديثات نظام التشغيل ويندوز تبدأ أسماؤها بالشكل التالي “KBXXXXXX” حيث يشير X إلى مجموعة أرقام)

قوموا بنسخ هذا الرقم (من دون الحرفين KB) والتحقق من أنه صحيح من خلال الموقع التالي.

التحقق يتم من خلال مقارنة عنوان التحديث وحجم الملف وتاريخ النشر.

– تأكدوا من تحديث كافة البرامج الموجودة على جهازكم.

– لا تقوموا بتحميل البرامج المقرصنة أو الموجودة على مواقع رفع الملفات، فقط حمّلوا البرامج من موقعها الأصلي.

– معظم المواقع الموثوقة تنشر “خلاصة الرسالة” الخاصة بالبرامج والملفات التي تقومون بتحميلها، تأكدوا من مقارنة “خلاصة الرسالة” على الموقع مع “خلاصة الرسالة” الخاصة بالملف الذي قمتم بتحميله، لمعرفة كيفية القيام بذلك بإمكانكم قراءة مقال “التحقق من صحة الملفات المحمّلة عبر الإنترنت بواسطة دالة التجزئة – Hash

– نصّبوا مضاد فيروسات وتأكدوا من تحديثه دوماً.

– نصّبوا “جدار ناري” (Firewall) وتأكدوا من تحديثه دوماً، وانتبهوا إلى العمليات والبرامج التي تتطلب وصول إلى الشبكة.

– تأكدوا من تحديث المتصفحات.

– تفادوا تنصيب “جافا” و”فلاش بلاير” على أجهزتكم، وإن كان لا بد من تنصيبها، تأكدوا من تعطيلها في المتصفح. بإمكانكم قراءة مقالنا عن طريقة تعطيل “جافا” في المتصفح.

– لا تنقروا على أي روابط أو مرفقات في البريد الإلكتروني قبل التحقق من صحّتها.

– تفادوا استخدام مقاهي الإنترنت، حتى وإن كان الاستخدام يتضمن جهازكم الشخصي واستعمال اتصال VPN، فبرنامج “فين فيشر” قادر على نشر البرمجية الخبيثة تلقائياً على كافة أجهزة الشبكة بمجرد اتصاله بها.

– لا تقوموا بإدخال أقراص DVD أو USB في أجهزتكم لستم متأكدين من أنها خالية من الفيروسات. ولا تسمحوا لأي شخص غريب أو غير موثوق أن يقوم بإدخالها في جهازكم.

– شفّروا ملفّاتكم دوماً، بإمكانكم استعمال برنامج “تروكربت” (Truecrypt) لتشفير ملفاتكم الحساسة.

– اتصلوا بالإنترنت عبر “تور” أو اتصال “VPN”.

بالنسبة للهواتف الجوالة (أندرويد، آيفون، بلاك بيري، ويندوز فون، سيمبيان… إلخ):

– تنطبق النصائح ذاتها المتعلقة بالحاسوب أعلاه على الهواتف الجوالة ونضيف عليها:

– حملوا التطبيقات عبر متجر التطبيقات الخاص بكل جهاز.

– تحققوا من الأذونات الخاصة بالتطبيقات.

– تأكدوا من تعطيل خدمة تحديد المواقع “GPS”

– استخدموا تطبيقات المحادثة الصوتية والنصية بدلا من المكالمات العادية، بإمكانكم استخدام برنامج “سيغنال” (Signal) لأجهزة أندرويد وآيفون لإجراء مكالمات صوتية ومحادثات مشفرة.

– كما يمكنكم استخدام تطبيق “تكست سكيور” (TextSecure) لإرسال رسائل نصية قصيرة مشفّرة.