Malware FinFisher atau FinSpy adalah spyware terkenal yang sering dijual ke pemerintah atau agensi-agensi di seluruh dunia sebagai alat untuk pengintaian, telah beredar luas di internet. Selain menampilkan peningkatan kualitas, beberapa varian ini telah menggunakan penyebaran yang tak kasat mata, diduga melibatkan internet service provider (ISP).
Pada tahun 2013 FinFisher aka FinSpy pernah menyusup dan menyerang Indonesia membuat gempar jagad maya di tanah air. ESET mengamati aktivitas FinFisher/FinSpy ini pada perangkat komunikasi mobile yaitu di iPhones dan Blackberry dan kemungkinan menjangkiti OS yang lain pula. Untuk menanggulanginya, saat itu ESET secara proaktif bekerjasama dengan pemerintah dan lembaga-lembaga penegak hukum dengan nama Securing Our E-City. ESET di Indonesia bersama-sama dengan institusi pendidikan membangun zona bebas virus (ESET Virus Free Zone).
Berbeda dengan saat ini, varian terbaru FinFisher memiliki kemampuan memata-matai yang luas, seperti pengawasan langsung melalui webcam dan mikrofon, keylogging, dan pengarsipan file. Apa yang membuat FinFisher berbeda dari alat pengawasan lainnya adalah bagaimana FinFisher dijual bebas dan dipasarkan sebagai alat penegakan hukum dan diyakini telah digunakan oleh banyak pemerintah. ESET menemukan varian FinFisher terbaru ini beredar di tujuh negara. Sayangnya ESET tidak bisa mengungkapkan negara mana saja yang telah disusupi, agar tidak membahayakan keselamatan siapa pun.
Operasi gelap FinFisher atau yang dikenal dalam deteksi ESET sebagai Win32/FinSpy pada 12 September 2017 dengan versi deteksi database 16072 diketahui telah menggunakan berbagai mekanisme infeksi, termasuk spearphishing, instalasi manual dengan akses fisik ke perangkat, eksploitasi zero day, dan serangan watering hole, yaitu menulari situs yang diperkirakan akan dikunjungi.
Apa yang baru dan yang paling meresahkan dari operasi baru adalah dalam hal distribusi yang menggunakan serangan man-in-the-middle (MITM) oleh pelaku yang kemungkinan besar beroperasi di tingkat ISP. ESET telah melihat vektor ini digunakan di dua negara di mana sistem ESET mendeteksi spyware FinFisher terbaru sementara di lima negara yang tersisa, operasi tersebut mengandalkan distribusi konvensional.
Cara Kerja FinSpy
Ketika pengguna yang menjadi target pengawasan ingin mengunduh salah satu dari beberapa aplikasi populer dan legitimate, aplikasi tersebut diarahkan ke versi aplikasi yang terinfeksi FinFisher.
Aplikasi yang telah kita lihat disalahgunakan untuk menyebarkan FinFisher adalah WhatsApp, Skype, WinRAR, VLC Player dan beberapa lainnya. Penting untuk dicatat bahwa hampir semua aplikasi dapat disalahgunakan dengan cara ini.
Serangan dimulai dengan pengguna mencari salah satu aplikasi yang terpengaruh di situs web yang sah. Setelah pengguna mengklik tautan unduhan, browser mereka dilayani dengan tautan yang dimodifikasi dan diarahkan ke paket pemasangan trojan yang diinangi di server pelaku. Saat diunduh dan dijalankan, aplikasi tidak hanya menginstal aplikasi yang sah, namun juga spyware FinFisher berjalan bersamaan dengannya.
Pengalihan dilakukan dengan tautan unduhan yang sah diganti dengan yang sudah terpapar FinSpy. Tautan jahat dikirim ke browser pengguna melalui HTTP 307. Kode respon status pengalihan sementara menunjukkan bahwa konten yang diminta telah dipindah sementara ke URL baru. Seluruh proses pengalihan terjadi tanpa sepengetahuan pengguna dan tidak terlihat oleh mata telanjang.
Di Bawah Radar
Beredarnya kembali FinFisher tentu saja menimbulkan banyak kekuatiran berbagai pihak, hal ini mendapat perhatian dari Technical Consultant PT Prosperita – ESET Indonesia, Yudhi Kukuh: “Versi terbaru dari FinFisher telah menerima perbaikan teknis dan mengalami peningkatan kualitas, para pengembangnya fokus dengan mengembangkan teknologi stealth untuk menyembunyikan diri dari pelacakan radar. Spyware juga menggunakan virtualisasi kode kustom untuk melindungi sebagian besar komponennya, termasuk driver mode kernel. Selain itu, seluruh kode sudah terisi dengan trik anti-pembongkaran. ESET menemukan banyak trik anti-sandboxing, anti-debugging, anti-virtualisasi dan anti-emulasi dalam spyware.”
“Namun, bagi pengguna ESET seharusnya tidak perlu kuatir dengan kembali beredarnya FinSpy/FinFisher meskipun masih dirahasiakan identitas negara mana saja yang sudah disusupi, karena ESET mampu mendeteksi kehadiran Spyware berbahaya ini,” ungkap Yudhi
Saat menganalisis operasi spyware ini, ESET menemukan sampel yang menarik, spyware FinFisher menyamar sebagai file executable bernama “Threema”. File semacam itu dapat digunakan untuk menargetkan pengguna yang peduli terhadap privasi, karena aplikasi Threema yang asli menyediakan pesan instan yang aman dengan enkripsi end-to-end. Ironisnya, mereka malah tertipu untuk mengunduh dan menjalankan file terinfeksi yang mengakibatkan pengguna pencari privasi dimata-matai.
Fokus khusus pada pengguna yang mencari perangkat lunak enkripsi tidak terbatas hanya pada komunikator end-to-end. Selama penelitian, ESET juga menemukan file instalasi TrueCrypt sebuah software enkripsi disk yang sangat populer menjadi trojan bagi FinFisher.
MITM (Man in the Midlle)
Secara teknis, kemungkinan posisi pelaku dalam serangan man-in-the-middle ini ditempatkan di berbagai posisi di sepanjang rute dari komputer target ke server yang sah (misalnya hotspot Wi-Fi yang terganggu). Namun, penyebaran geografis deteksi ESET terhadap varian FinFisher terbaru menunjukkan bahwa serangan MitM terjadi pada tingkat yang lebih tinggi dan ISP muncul sebagai pilihan yang paling mungkin.
- Asumsi ini didukung oleh sejumlah fakta:
Pertama, menurut informasi internal bocor yang telah diterbitkan oleh WikiLeaks, pembuat FinFisher menawarkan sebuah solusi yang disebut “FinFly ISP” untuk ditempatkan di jaringan ISP dengan kemampuan yang sesuai dengan yang diperlukan untuk melakukan hal tersebut. - Kedua, Serangan MitM, teknik infeksi menggunakan HTTP 307 redirect dilaksanakan dengan cara yang sama di kedua negara yang terkena dampak, yang sangat tidak mungkin kecuali jika dikembangkan dan/atau disediakan oleh sumber yang sama.
- Ketiga, semua target yang terkena dampak di suatu negara menggunakan ISP yang sama. Sehingga, metode dan format pengalihan yang sama telah digunakan untuk penyaringan konten internet oleh penyedia layanan internet di setidaknya satu dari negara-negara yang terkena dampak.
Sumber Berita:
ESET Indonesia
