Presentación del trabajo sobre el Leak publicado por WikiLeaks "SpyFiles" acerca del uso de FinFisher, un virus espía (malware/spyware) vendido a gobiernos para espiar a sus propios ciudadanos.
Más información: http://javierferrer.me/finfisher-conflictos-politicos-malware/
Trabajo expuesto el 15/12/2014 en la asignatura de Seguridad Informática de la Facultat d'Informàtica de Barcelona - Universitat Politècnica de Catalunya (FIB-UPC). Llevado a cabo por Jaume López, Marc Vijfschaft y Javier Ferrer.
#SpyFiles - Análisis de #FinFisher y los Conflictos Políticos del Malware-as-a-Service
1. SpyFiles
Análisis de FinFisher
y los Conflictos Políticos del Malware as a Service
FIB-UPC / SI 2014/12/15
Javier Ferrer - Jaume López - Marc Vijfschaft
2. ● Vídeo de la presentación de este trabajo:
https://www.youtube.com/watch?v=WUMVmNDckD4
● Post con más información:
http://javierferrer.me/finfisher-conflictos-politicos-
malware/
Disclaimer
2
6. I > Gamma International
● Comercializa FinFisher
● Venta a gobiernos
● “Corporación enemiga de internet” en 2013
por RSF
● Sedes en Alemania y Reino Unido
6
14. AF > Métodos de Infección
● Email
○ Imagen y comprimidos
○ Right To Left Override
■ Carácter U+202E: “exe.Rajab1.jpg”
■ UTF-8 en ANSI: “gpj.1bajaR.exe”
○ Tras ejecución deja imagen original
14
15. ● FinFly USB
○ Bootable
○ Infecta MBR
AF > Métodos de Infección
15
16. ● Actualizaciones falsas
○ iTunes
○ Blackberry OS
○ Flash Player
● Plugin Firefox
AF > Métodos de Infección
16
17. AF > Comportamiento
● Ejecuta comportamiento esperado
○ Muestra imagen
○ Progreso de actualización
● Copia ejecutable en carpeta aleatoria de
TMP
17
18. AF > Comportamiento
● Modificación valores RegisterClassExW y
CreateWindowExW en IAT mediante
User32.dll
● Ollydbg e IDA Pro pasan por alto estas
rutinas
● Se puede detectar manualmente
18
23. CP > Casos Reales
● Baréin: Shehab Hashem,
activista en la revolución
de Baréin de 2011
23
24. ● Egipto con disidentes durante la Primavera
Árabe
CP > Casos Reales
24
25. ● Etiopía con objetivos concretos de la
oposición Ginbot 7 y población en general
● En España no hay indicios de uso, no
obstante, tenemos el caso SITEL
CP > Casos Reales
25
26. ● Etiopía con objetivos concretos de la
oposición Ginbot 7 y población en general
● En España no hay indicios de uso, no
obstante, tenemos el caso SITEL
CP > Casos Reales
26
28. ● Considerar la venta de malware al nivel de
la venta de armamento
● Algunas normativas en ciertos estados de
EEUU
● No hemos encontrado nada en España
CP > Legislación
28
29. ● Malware que requiere alto nivel de
conocimientos
○ Medidas de contra-espionaje
● Legislación no a la altura
● Gobiernos hipócritas
○ Ministro de exteriores Alemán
Conclusión
29
30. ● Introducción
○ [1] WikiLeaks. (2011, Mayo 05). About [Online]. Disponible: https://wikileaks.org/About.html
○ [2] WikiLeaks. WikiLeaks:Tor [Online]. Disponible: https://www.wikileaks.org/wiki/WikiLeaks:Tor
○ [3] WikiLeaks. (2010, Abril 05). Collateral Murder [Online]. Disponible: http://www.collateralmurder.com/
○ [4] WikiLeaks. (2010, Abril 05). Collateral Murder Video [Online]. Disponible: https://www.youtube.com/watch?
v=5rXPrfnU3G0
○ [5] Gamma Group. (2013). Home Page [Online]. Disponible: https://www.gammagroup.com/Default.aspx
○ [6] Reporters without borders. (2013, Marzo 12). Enemies of the Internet [Online]. Disponible: http://surveillance.rsf.
org/en/wp-content/uploads/sites/2/2013/03/enemies-of-the-internet_2013.pdf
○ [7] WikiLeaks. (2011, Diciembre 01). The SpyFiles > List of documents > Company Name > GAMMA [Online]. Disponible:
https://wikileaks.org/spyfiles/list/company-name/gamma.html
● SpyFiles
○ [1] Satinfo. (2012, Agosto 21).FinFisher: un Malware “legal” que está siendo utilizado por cuerpos gubernamentales para
espiar remotamente a usuarios bajo sospecha [Online.] Disponible: http://www.satinfo.es/blog/2012/finfisher/
○ [2] WikiLeaks. (2014, Septiembre 15) Remote Monitoring Solutions [Online]. Disponible: https://wikileaks.
org/spyfiles4/documents/FinSpy-Catalog.pdf
● Análisis Forense
○ Metodos de infeccion
■ [1] The citizen Lab. (2012, Julio 25). From Bahrain With Love: FinFisher’s Spy Kit Exposed? [Online]. Disponible: https:
//citizenlab.org/2012/07/from-bahrain-with-love-finfishers-spy-kit-exposed/
■ [2] Digits. (2011, Noviembre 21). Surveillance Company Says It Sent Fake iTunes, Flash Updates [Online]. Disponible:
http://blogs.wsj.com/digits/2011/11/21/surveillance-company-says-it-sent-fake-itunes-flash-updates-documents-
Referencias
30
32. ● Conflicto Político
○ Casos reales
■ [1] Morgan Marquis-Boire, Bill Marczak, Claudio Guarnieri, y John Scott-Railton. (2013, Marzo 13). You Only Click
Twice: FinFisher’s Global Proliferation [Online]. Disponible: https://citizenlab.org/2013/03/you-only-click-twice-
finfishers-global-proliferation-2/
■ [2] Claudio Guarnieri. (2012, Agosto 08). Analysis of the FinFisher Lawful Interception Malware [Online]. Disponible:
https://community.rapid7.com/community/infosec/blog/2012/08/08/finfisher
■ [3] Shehab Hashem. (2011, Junio 12). About me [Online]. Disponible: http://acoockie.blogspot.com.es/p/about-me.
html
■ [4] John Leyden, The Register (2011, Septiembre 21). UK firm denies supplying spyware to Mubarak's secret police
[Online]. Disponible: http://www.theregister.co.uk/2011/09/21/egypt_cyber_spy_controversy/
■ [5] John Leyden, The Register (2011, Septiembre 21). UK firm denies supplying spyware to Mubarak's secret police
[Online]. Disponible: https://www.f-secure.com/weblog/archives/00002114.html
■ [6] WikiLeaks. (2014, Septiembre 15) SpyFiles 4 [Online]. Disponible: https://wikileaks.org/spyfiles4/
■ [7] Mikko Hypponen, F-Secure (2011, Marzo 08). Egypt, FinFisher Intrusion Tools and Ethics [Online]. Disponible:
http://www.theguardian.com/uk/2012/nov/28/offshore-company-directors-military-intelligence
■ [8] John Glenday, The Drum (2013, Octubre 24). US spying row escalates as Angela Merkel claims personal mobile
phone was hacked [Online]. Disponible: http://www.thedrum.com/news/2013/10/24/us-spying-row-escalates-
angela-merkel-claims-personal-mobile-phone-was-hacked
Referencias
32
33. ● Conflicto Político
○ Casos reales
■ [9] John McCarthy, The Drum (2014, Septiembre 16). Germany's Merkel hypocritical on online privacy with FinFisher
spy malware exports, claims Julian Assange in latest Wikileak [Online]. Disponible: http://www.thedrum.
com/news/2014/09/16/germanys-merkel-hypocritical-online-privacy-finfisher-spy-malware-exports-claims
■ [10] José Luis Lobo, El Confidencial (2013, Julio 05). ¿Nos espía Rajoy? El Gobierno escruta sin control judicial
llamadas y correos electrónicos [Online]. Disponible: http://www.elconfidencial.com/espana/2013/07/05/nos-espia-
rajoy-el-gobierno-escruta-sin-control-judicial-llamadas-y-correos-electronicos-124355
○ Legislación
■ [1] Bloomberg. (2012, Diciembre 31). FinSpy Surveillance Tool Takes Over Computers [Online]. Disponible: http:
//www.bloomberg.com/video/finspy-surveillance-tool-takes-over-computers-jEyQ3lz_QwWSMWXFIAl28Q.html
■ [2] National Conference of State Legislatures. (2013, Diciembre 13). State Spyware Laws [Online]. Disponible: http:
//www.ncsl.org/research/telecommunications-and-information-technology/state-spyware-laws.aspx
■ [3] Arizona State Legislature (2013, Diciembre 13). Chapter 30 Computer Spyware, Article 1 General Provisions,
Prohibited activities; applicability. [Online]. Disponible: http://www.azleg.gov/FormatDocument.asp?
inDoc=/ars/44/07302.htm&Title=44&DocType=ARS
■ [4] Fiscal General del Estado (2014, Julio 22). Actividad del Ministerio Fiscal, Capítulo III [Online]. Disponible: https:
//www.fiscal.es/fiscal/PA_WebApp_SGNTJ_NFIS/descarga/d4_v1c3.pdf?idFile=61f7b101-ff59-4bac-b944-
5a630529be9f
Referencias
33
34. SpyFiles
FIB-UPC / SI 2014/12/15
Javier Ferrer - Jaume López - Marc Vijfschaft
¿Preguntas?