浮尘 发表于 2015-10-19 21:17:07

32个国家被部署了政府监控软件FinFisher


公民实验室(Citizen Lab)的一项新调查显示,政府使用FinFisher软件的数量开始上升。在过去的几年里,该实验室的研究人员一直在监控集权政府对类似监控软件的使用。

FinFisher软件简介

研究人员跟踪服务器的物理定位发现,它们受控于德国某公司的FinFisher GmbH基础设施。这套基础设施旨在涵盖操作者和黑客的身份,FinFisher主控服务器称为FinSpy Master,而中继服务器称为FinSpy Relays,他们是作为CC攻击的命令控制端。

FinFisher软件一旦感染目标机,会与中继服务器通信,作为一个终端节点连接到主服务器。

FinFisher监控系统

公民实验室的专家使用了Zmap扫出了135台服务器,其中包括FinSpy Master和FinSpy Relays。专家解释道,只有主服务器通常部署在用户那里,中继服务器可以位于其他位置。

公民实验室发出了一份报告:

“在2014年-2015年间,通过在FinFisher样本中提取的指纹信息,我们采用Zmap扫描了整个IPV4网络段。最终,我们得到了135台匹配的指纹,我们可以肯定它们是FinSpy Masters和FinSpy Relays。”
有趣的是,对用于保护主服务器身份的中继服务器的分析,让公民实验室的人发现了主控服务器的位置。

FinFisher地址的泄露

如果有人试图用普通浏览器访问某个FinSpy Relay,它会给你提供一个伪造的页面,通常是Google.com或者Yahoo.com。如果伪造的页面为Google,你查询my ip address,它会给你回显FinSpy Master的真实地址。

公民实验室还表示:

“尽管FinFisher服务器的伪造页面大部分都是Google.com或者Yahoo.com,我们仍然发现了一些有意思的东西。FinSpy Relays取得的是从FinSpy Master上面返回的伪造内容,所以在不少案例中,里面的数据包是FinSpy Master的定位数据。比如这些页面可能会嵌入服务器的IP和当地的天气,这会泄露FinSpy Masters的定位数据。”
在伪造的Yahoo页面中,公民实验室还使用了另一种方法来获取FinSpy Master的定位。事实上,雅虎会用它来在主页上显示自定义的天气信息和新闻,WEB页面的源码因此泄露了FinSpy Masters的定位数据。

公民实验室的专家强调,服务器返回伪造页面的数量随着时间的推移正在下降,研究人员在32个国家发现了FinFisher用户。据上一次的分析,通过伪造内容指纹扫描,能在16个国家里识别出FinFisher用户。最新发现的国家以及地区有:安哥拉、埃及、加蓬、约旦、哈萨克斯坦、肯尼亚、黎巴嫩、摩洛哥、阿曼、巴拉圭、沙特阿拉伯、斯洛文尼亚、西班牙、台湾、土耳其和委内瑞拉。

在某些特定的情况下,专家能根据特定的IP地址标识跟踪到政府办公室。去年,政府FinFisher系统曾被攻击,黑客放出了约40GB的数据。

ruguoruo 发表于 2015-10-21 00:17:15

支持,看起来不错呢!

Lucifer 发表于 2015-10-21 17:25:28

还是不错的哦,顶了

r00tc4 发表于 2015-10-22 04:30:13

支持中国红客联盟(ihonker.org)

wilist 发表于 2015-10-22 13:03:55

感谢楼主的分享~

小路 发表于 2015-10-22 14:46:11

学习学习技术,加油!

wilist 发表于 2015-10-23 03:19:45

支持,看起来不错呢!

08-wh 发表于 2015-10-23 14:34:34

支持中国红客联盟(ihonker.org)

若冰 发表于 2015-10-25 07:37:18

54hacker 发表于 2015-10-25 10:58:14

支持中国红客联盟(ihonker.org)
页: [1] 2 3 4 5 6 7 8 9 10
查看完整版本: 32个国家被部署了政府监控软件FinFisher