FinFisher - троян для государственного шпионажа


Citizen LabСпециалисты лаборатории Citizen Lab при Университете Торонто обнаружили троянское ПО FinFisher, использующееся правительствами стран для шпионской деятельности. Также эксперты заявили, что обнаружили C&C-серверы бэкдоров FinSpy в 25 странах, в том числе в:

  • Австралии;
  • Канаде;
  • Эстонии;
  • Германии;
  • Великобритании;
  • США.


FinFisher – троянское ПО, разработанное Gamma International для совершения удаленного вторжения и наблюдения, и производится исключительно для правоохранительных органов и спецслужб Великобритании. Исследователи отметили, что на C&C-серверы FinFisher стекаются данные:

  • печатных изданий;
  • сообщения в Skype;
  • аудиозаписи, перехваченные вредоносным ПО с микрофонов компьютеров.


В Мексике, Бангладеш, Малайзии, Сербии, Бахрейне и Вьетнаме FinFisher применялся в отношении политических оппозиционеров.

Также доказано, что в настоящее время FinFisher применяется в Эфиопии. В августе прошлого года эксперты обнаружили образцы вредоносного ПО FinSpy, использующего фотографии участников эфиопской оппозиционной группы Ginbot 7 в качестве приманки. Вредоносное ПО связывается с C&C-серверами FinSpy, расположенными в Эфиопии. Его можно обнаружить по следующему адресу государственной телекоммуникационной компании Эфиопии Ethio Telecom:

  • IP: 213.55.99.74
  • route: 213.55.99.0/24
  • descr: Ethio Telecom
  • origin: AS24757
  • mnt-by: ETC-MNT
  • member-of: rs-ethiotelecom
  • source: RIPE # Filtered


Вредоносная программа перемещает себя в JPG изображение, а затем исполняется ничего не подозревающими пользователями. ПО загружается при помощи буткита SHA-256:

  • ba21e452ee5ff3478f21b293a134b30ebf6b7f4ec03f8c8153202a740d7978b2

и использует драйвер .sys - SHA-256:

  • 62bde3bac3782d36f9f2e56db097a4672e70463e11971fad5de060b191efb196.

Обновлено (15.03.2013 16:24)