Thứ Năm, 21 tháng 3, 2013

Bạn chỉ cần nháy 2 lần: Nở rộ Toàn cầu FinFisher


You Only Click Twice: FinFisher’s Global Proliferation
March 13, 2013
Bài được đưa lên Internet ngày: 13/03/2013
Các tác giả: Morgan Marquis-Boire, Bill Marczak, Claudio Guarnieri, and John Scott-Railton.
Bài này mô tả các kết quả của một cuộc quét Internet toàn cầu toàn diện đối với các máy chủ chỉ huy kiểm soát của phần mềm giám sát FinFisher. Nó cũng chi tiết sự phát hiện của một chiến dịch sử dụng FinFisher tại Ethiopia được sử dụng để nhằm vào những cá nhân có liên quan tới một nhóm đối lập. Hơn nữa, nó đưa ra sự xem xét của một ví dụ FinSpy Mobile được thấy trong hoang dại, dường như đã được sử dụng tại Việt Nam.
Tóm tắt các phát hiện chính
  • Chúng tôi đã thấy các máy chủ chỉ huy và kiểm soát đối với các cửa hậu FinSpy, một phần của “giải pháp giám sát ở xa” FinFisher Quốc tế Gamma, trong tổng số 25 nước: Úc, Bahrain, Bangladesh, Brunei, Canada, Cộng hòa Séc, Estonia, Ethiopia, Đức, Ấn Độ, Indonesia, Nhật, Latvia, Malaysia, Mexico, Mông Cổ, Hà Lan, Qatar, Serbia, Singapore, Turkmenistan, United Arab Emirates, Anh, Mỹ và Việt Nam.
  • Một chiến dịch FinSpy tại Ethiopia sử dụng các bức ảnh của Ginbot 7, một nhóm đối lập người Ethiopia, như là manh mối để lây nhiễm cho những người sử dụng. Điều này tiếp tục chủ đề của các triển khai FinSpy với những chỉ thị mạnh nhằm đích có động lực chính trị.
  • Có bằng chứng mạnh của một Chiến dịch FinSpy Mobile Việt Nam. Chúng tôi đã thấy một mẫu FinSpy Mobiel Android trong hoang dại với một máy chủ chỉ huy và kiểm soát tại Việt Nam mà cũng trích lọc các thông điệp văn bản đối với một số lượng điện thoại địa phương.
  • Những phát hiện đó kêu gọi câu hỏi nêu ra của Gamma International rằng các máy chủ được nói trước đó từng không phải là một phần của dòng sản phẩm của họ, và rằng các bản sao được phát hiện trước đó của các phần mềm của họ hoặc đã bị ăn cắp hoặc sao bản demo.
1. Nền tảng và giới thiệu
FinFisher là một dòng các phần mềm giám sát và thâm nhập từ xa được Gamma International GmbH có trụ sở ở Munich phát triển. Các sản phẩm FinFisher được đưa ra thị trường và được Nhóm Gamma có trụ sở ở Anh bán chỉ riêng cho các cơ quan ép tuân thủ luật và tình báo1. Dù được chào như một bộ “can thiệp hợp pháp” cho việc giám sát tội phạm, FinFisher đã giành được trạng thái hiển nhiên ai cũng biết vì nó từng được sử dụng trong các cuộc tấn công có chủ đích chống lại những người tham gia chiến dịch quyền con người và các nhà hoạt động xã hội đối lập tại các quốc gia với các hồ sơ quyền con người2 đáng nghi ngờ.
Vào cuối tháng 7/2012, chúng tôi đã xuất bản các kết quả của một cuộc điều tra trong một chiến dịch thư điện tử đáng ngờ nhằm vào các nhà hoạt động xã hội ở Bahrain3. Chúng tôi đã phân tích những tệp đính kèm và đã phát hiện rằng chúng có chứa phần mềm FinSpy, sản phẩm giám sát từ xa FinFisher. FinSpy chụp thông tin từ một máy tính bị lây nhiễm, như các mật khẩu và các cuộc gọi Skype, và gửi thông tin tới một máy chủ chỉ huy và kiểm soát (C2) FinSpy. Các tệp gắn kèm chúng tôi đã phân tích đã gửi các dữ liệu tới một máy chủ chỉ huy và kiểm soát nằm trong Bahrain.
Phát hiện này đã tạo động lực cho các nhà nghiên cứu tìm kiếm các máy chủ chỉ huy & kiểm soát khác để hiểu FinFisher có thể được sử dụng rộng rãi như thế nào. Claudio Guarnieri tại Rapid7 (một trong những tác giả của báo cáo này) từng là người đầu tiên tìm kiếm các máy chủ đó. Ông đã lần ra dấu vết máy chủ ở Bahrain và đã xem dữ liệu quét Internet lịch sử để nhận diện các máy chủ khác trên thế giới mà đã trả lời cho dấu vết y hệt đó. Rapid7 đã xuất bản danh sách các máy chủ này, và đã mô tả kỹ thuật lấy dấu vết của chúng. Các nhóm khác, bao gồm cả CrowdStrikeSpiderLabs cũng đã phân tích và đã xuất bản các báo cáo về FinSpy.
Ngay lập tức sau xuất bản đó, các máy chủ hình như đã được cập nhật để tránh sự dò tìm dấu vết của Rapid7. Chúng tôi đã phát minh ra một kỹ thuật lần dấu vết khác và đã quét các phần của Internet. Chúng tôi đã khẳng định các kết quả của Rapid7, và cũng đã thấy vài máy chủ mới, bao gồm một chiếc trong Bộ Truyền thông của Turkmenistan. Chúng tôi đã xuất bản danh sách các máy chủ vào cuối tháng 8/2012, bổ sung thêm vào một phân tích các phiên bản điện thoại di động của FinSpy. Các máy chủ FinSpy hình như đã được cập nhật một lần nữa vào tháng 10/2012 để vô hiệu hóa kỹ thuật lần dấu vết mới hơn này, dù nó từng không bao giờ được mô tả công khai.
Dù vậy, thông qua phân tích các mẫu đang tồn tại và quan sát các máy chủ chỉ huy & kiểm soát, chúng tôi đã xoay xở đếm nhiều hơn các phương pháp lần dấu vết và tiếp tục khảo sát của chúng tôi về Internet đối với phần mềm giám sát này. Chúng tôi mô tả các kết quả trong bài viết này.
Các nhóm xã hội dân sự đã thấy lý do để lo lắng theo những phát hiện đó, khi họ chỉ ra sự sử dụng các sản phẩm FinFisher của các quốc gia như Turkmenistan và Bahrain với các hồ sơ có vấn đề về các quyền con người, sự minh bạch và qui tắc của luật. Trong một trả lời hồi tháng 08/2012 cho một bức thư từ NGO Privacy International có trụ sở ở Anh, Chính phủ Anh đã phát hiện rwangf tị những thời điểm không xác định trong quá khứ, nó đã kiểm tra một phiên bản của FinSpy, và đã liên hệ với Gamma rằng một giấy phép có thể được yêu cầu để xuất khẩu phiên bản đó ra ngoài EU, Gamma đã từ chối một cách lặp đi lặp lại các liên quan tới phần mềm gián điệp và các máy chủ đã bị nghiên cứu của chúng tôi phát hiện, nói rằng các máy chủ được các cuộc quét của chúng tôi dò tìm ra là “không … từ dòng sản phẩm FinFisher4. Gamma cũng nói rằng phần mềm gián điệp đó đã gửi cho các nhà hoạt động xã hội ở Bahrain từng là một phiên bản demo FinSpy “cũ”, bị ăn cắp trong quá trình trình diễn sản phẩm.
Tháng 02/2013, Privacy International, Trung tâm châu Âu về Hiến pháp và Quyền con người ECCHR (European Centre for Constitutional and Human Rights), Trung tâm của Bahrain về Quyền con người, Bahrain Watch, và Reporters Without Borders (Các nhà báo Phi Biên giới) đã đệ trình một khiếu nại với Tổ chức Hợp tác Kinh tế và Phát triển (OECD), yêu cầu rằng cơ quan này điều tra liệu Gamma có vi phạm các Chỉ dẫn của OECD đối với các Doanh nghiệp Đa quốc gia bằng việc xuất khẩu FinSpy sang Bahrain. Khiếu nại đã gọi các tuyên bố trước đó của Gamma là khả nghi, lưu ý rằng ít nhất 2 phiên bản khác (4.00 và 4.01) của FinSpy đã được thấy tại Bahrain, và rằng máy chủ chủ Bahrain từng là một sản phẩm FinFisher và từng có khả năng nhận các bản cập nhật từ Gamma. Khiếu nại này, như được Privacy International đưa ra nó rằng Gamma:
  • không tôn trọng các quyền con người của những người bị ảnh hưởng bởi cách hoạt động [của nó] được quốc tế thừa nhận
  • đã gây ra và đóng góp vào những ảnh hưởng tới quyền con người trái ngược trong quá trình các hoạt động [của nó]
  • không ngăn chặn và làm giảm nhẹ những ảnh hưởng tới quyền con người trái ngược có liên quan tới các hoạt động và các sản phẩm [của nó], và không giải quyết các ảnh hưởng như vậy ở những nơi mà chúng đã xảy ra
  • không triển khai sự siêng năng phù hợp (bao gồm sự siêng năng về quyền con người); và
  • không triển khai một cam kết chính sách tôn trọng các quyền con người.
Theo báo cáo gần đây, Cảnh sát Liên bang Đức dường như có các kế hoạch mua và sử dụng bộ các công cụ FinFisher nội bộ bên trong nước Đức5. Trong khi đó, những phát hiện của nhóm chúng tôi và các nhóm khác tiếp tục minh họa sự nở rộ toàn cầu các sản phẩm của FinFisher. Nghiên cứu tiếp tụ phát hiện các trường hợp đáng lo lắng về FinSpy tại các nước với các hồ sơ theo dõi các quyền con người buồn thảm, và các chế độ đàn áp chính trị. Gần đây nhất, công việc của Bahrain Watch đã khẳng định sự hiện diện của một chiến dịch FinFisher của người Bahrain, và xa hơn các tuyên bố công khai đầy mâu thuẫn của Gamma. Bài viết này bổ sung thêm vào danh sách bằng việc đưa ra một danh sách cập nhật các máy chủ chỉ huy và kiểm soát của FinSpy, và mô tả các mẫu phần mềm độc hại FinSpy trong hoang dã xuất hiện đã được sử dụng để nhằm vào các nạn nhân tại Ethiopia và Việt Nam.
Chúng tôi trình bày những phát hiện được cập nhật đó trong hy vọng rằng chúng tôi sẽ khuyến khích hơn nữa các nhóm xã hội dân sự và các cơ quan điều tra có năng lực tiếp tục sự soi xét của họ đối với các hoạt động của Gamma, phù hợp với các vấn đề kiểm soát xuất khẩu, và vấn đề nở rộ toàn cầu và không được điều chỉnh của các phần mềm độc hại giám sát.
Hình 1. Bản đồ nở rộ toàn cầu của FinFisher (Xem hình ảnh ở phần tiếng Anh bên dưới)
2. FinFisher: Quét toàn cầu được cập nhật
Khoảng tháng 10/2012, chúng tôi đã quan sát thấy rằng hành vi của các máy chủ FinSpy đã bắt đầu thay đổi. Các máy chủ đã dừng phản ứng với sự lần dấu vết của chúng tôi, nó đã khai thác một góc lượn trong giao thức có dây của FinSpy có thể phân biệt được. Chúng tôi tin tưởng rằng điều này chỉ ra rằng Gamma hoặc đã thay đổi một cách độc lập giao thức FinSpy, hoặc đã có khả năng xác định các phần tử chính của dấu vết của chúng tôi, dù nó không bao giờ từng phát hiện được một cách công khai.
Trong sự bùng lên của cập nhật hình như này đối với các máy chủ chỉ huy & kiểm soát FinSpy, chúng tôi đã chế ra một sự lần dấu vết mới và đã tiến hành một cuộc quét Internet đối với các máy chủ chỉ huy & kiểm soát FinSpy. Sự quét này mất khoảng 2 tháng và có liên quan tới việc gửi hơn 12 tỷ gói. Sự quét mới của chúng tôi đã nhận diện tổng số 36 máy chủ FinSpy, 30 trong số đó là mới và 6 trong số đó chúng tôi đã thấy trong quá trình quét trước đó. Các máy chủ đã hoạt động tại 19 nước khác nhau. Trong số các máy chủ FinSpy chúng tôi đã thấy, 7 chiếc ở các nước chúng tôi chưa từng thấy trước đó.
Các nước mới
Canada, Bangladesh, Ấn Độ, Malaysia, Mexico, Serbia, Vietnam
Trong cuộc quét gần đây nhất, 16 máy chủ mà chúng tôi trước đó đã thấy còn chưa chỉ ra. Chúng tôi nghi ngờ rằng sau các cuộc quét trước đó của chúng tôi được xuất bản, các nhà vận hành đã chuyển chúng đi. Nhiều trong số các máy chủ đó đã bị đánh sập hoặc tái định vị sau xuất bản các kết quả trước đó, nhưng trước hình như bản cập nhật tháng 10/2012. Chúng tôi không còn thấy các máy chủ FinSpy tại 4 nước nơi mà việc quét trước đó đã nhận diện được chung (Brunei, UAE, Latvia và Mông Cổ). Tổng cộng, các máy chủ FinSpy hiện hành, hoặc đã từng hiện diện, tại 25 quốc gia.
Úc, Bahrain, Bangladesh, Brunei, Canada, Cộng hòa Séc, Estonia, Ethiopia, Đức, Ấn Độ, Indonesia, Nhật, Latvia, Malaysia, Mexico, Mông Cổ, Hà Lan, Qatar, Serbia, Singapore, Turkmenistan, United Arab Emirates, Anh, Mỹ và Việt Nam.
Quan trọng là, chúng tôi tin tưởng rằng danh sách các máy chủ của chúng tôi còn chưa đầy đủ vì sự đa dạng rộng lớn các cổng được các máy chủ FinSpy sử dụng, cũng như các nỗ lực khác được che đậy. Hơn nữa, sự phát hiện của một máy chủ chỉ huy và kiểm soát FinSpy ở một quốc gia được đưa ra không phải là chỉ số đủ để kết luận sử dụng FinFisher của các cơ quan ép tuân thủ luật hoặc tình báo của nước đó. Trong một số trường hợp, các máy chủ đã thấy chạy trong các cơ sở được các nhà cung cấp dịch vụ đặt chỗ (hosting) cung cấp mà có thể được các tác nhân từ bất kỳ quốc gia nào mua.
Bảng dưới đây chỉ ra các máy chủ FinSpy được dò tìm ra trong cuộc quét mới nhất của chúng tôi. Chúng tôi liệt kê địa chỉ IP đầy đủ các máy chủ từng trước đó được phát hiện. Đối với các máy chủ tích cực mà còn chưa được phát hiện công khai, chúng tôi liệt kê chỉ 2 bộ 8bit đầu. Việc đưa ra các địa chỉ IP hoàn chỉnh trong quá khứ đã không chứng minh được là hữu ích, khi mà các máy chủ đã nhanh chóng bị đánh sập và tái định vị.*

IP
Người vận hành
Định tuyến tới nước
117.121.xxx.xxx
GPLHost
Australia
77.69.181.162
Batelco ADSL Service
Bahrain
180.211.xxx.xxx
Telegraph & Telephone Board
Bangladesh
168.144.xxx.xxx
Softcom, Inc.
Canada
168.144.xxx.xxx
Softcom, Inc.
Canada
217.16.xxx.xxx
PIPNI VPS
Czech Republic
217.146.xxx.xxx
Zone Media UVS/Nodes
Estonia
213.55.99.74
Ethio Telecom
Ethiopia
80.156.xxx.xxx
Gamma International GmbH
Germany
37.200.xxx.xxx
JiffyBox Servers
Germany
178.77.xxx.xxx
HostEurope GmbH
Germany
119.18.xxx.xxx
HostGator
India
119.18.xxx.xxx
HostGator
India
118.97.xxx.xxx
PT Telkom
Indonesia
118.97.xxx.xxx
PT Telkom
Indonesia
103.28.xxx.xxx
PT Matrixnet Global
Indonesia
112.78.143.34
Biznet ISP
Indonesia
112.78.143.26
Biznet ISP
Indonesia
117.121.xxx.xxx
GPLHost
Malaysia
187.188.xxx.xxx
Iusacell PCS
Mexico
201.122.xxx.xxx
UniNet
Mexico
164.138.xxx.xxx
Tilaa
Netherlands
164.138.28.2
Tilaa
Netherlands
78.100.57.165
Qtel – Government Relations
Qatar
195.178.xxx.xxx
Tri.d.o.o / Telekom Srbija
Serbia
117.121.xxx.xxx
GPLHost
Singapore
217.174.229.82
Ministry of Communications
Turkmenistan
72.22.xxx.xxx
iPower, Inc.
United States
166.143.xxx.xxx
Verizon Wireless
United States
117.121.xxx.xxx
GPLHost
United States
117.121.xxx.xxx
GPLHost
United States
117.121.xxx.xxx
GPLHost
United States
117.121.xxx.xxx
GPLHost
United States
183.91.xxx.xxx
CMC Telecom Infrastructure Company
Vietnam
Vài phát hiện đó đặc biệt đáng chú ý:
  • 8 máy chủ được nhà cung cấp dịch vụ GPLHost đặt chỗ tại các quốc gia khác nhau (Singapore, Malaysia, Úc, Mỹ). Tuy nhiên, chúng tôi đã quan sát thấy chỉ 6 trong số các máy chủ đó tích cực bất kỳ lúc nào, gợi ý rằng một số địa chỉ IP có thể đã thay đổi trong quá trình quét của chúng tôi.
  • Một máy chủ được nhận diện tại Đức có đăng ký “Gamma International GmbH”, và người liên hệ được liệt kê là “Martin Muench”.
  • Có một máy chủ FinSpy trong một dải IP được đăng ký tới “Verizon Wireless”. Verizon Wireless bán các dải địa chỉ IP cho các khách hàng doanh nghiệp, nên điều này không nhất thiết là một chỉ số rằng bản thân Verizon Wireless đang vận hành máy chủ đó, hoặc rằng các khách hàng của Verizon Wireless đang bị gián điệp theo dõi.
  • Một máy chủ tại Qatar từng bị Rapid7 dò ra trước đó dường như đã được đưa quay lại trực tuyến sau khi không hoạt động trong quá trình vòng quét cuối cùng của chúng tôi. Máy chủ đó được định vị trong dải 16 địa chỉ được đăng ký cho “Qtel – Corporate accounts – Government Relations”. Khối y hệt 16 địa chỉ cũng có website http://qhotels.gov.qa/.
3. Ethiopia và Việt Nam: Thảo luận sâu các mẫu mới
3.1 FinSpy tại Ethiopia
Chúng tôi đã phân tích một mẫu phần mềm độc hại có được gần đây và đã xác định nó là FinSpy. Phần mềm độc hại đó sử dụng các ảnh của các thành viên của nhóm đối lập người Ethiopia. Ginbot 7, như là manh mối. Phần mềm độc hại đó giao tiếp với một máy chủ chỉ huy & kiểm soát FinSpy tại Ethiopia, nó từng được nhận diện lần đầu bởi Rapid7 vào tháng 08/2012. Máy chủ đó từng được dò tìm ra trong từng vòng quét, và vẫn hoạt động vào thời điểm viết bài này. Nó có thể được thấy trong khối địa chỉ sau, được Ethio Telecom, nhà cung cấp viễn thông nhà nước Ethiopia quản lý.
IP: 213.55.99.74
route: 213.55.99.0/24
descr: Ethio Telecom
origin: AS24757
mnt-by: ETC-MNT
member-of: rs-ethiotelecom
source: RIPE # Filtered

Máy chủ dường như được cập nhật theo một cách thức nhất quán với các máy chủ khác, bao gồm các máy chủ tại Bahrain và Turkmenistan.
MD5
8ae2febe04102450fdbc26a38037c82b
SHA-1
1fd0a268086f8d13c6a3262d41cce13470886b09
SHA-256
ff6f0bcdb02a9a1c10da14a0844ed6ec6a68c13c04b4c122afc559d606762fa

Mẫu đó là tương tự như một mẫu được phân tích trước đó của phần mềm độc hại FinSpy được gửi cho các nhà hoạt động xã hội tại Bahrain trong năm 2012. Hệt như các mẫu ở Bahrain, các phần mềm độc hại tự tái định vị và bỏ một ảnh JPG với cùng tên như là mẫu khi được một người sử dụng không nghi ngờ thực thi. Điều này dường như là một ý định lừa nạn nhân tin tưởng tệp được mở không phải là độc hại. Đây là một ít những sự tương tự chính giữa các mẫu:
  • PE dấu thời gian “2011-07-05 08:25:31” gói là chính xác y hệt như mẫu của Bahrain.
  • Chuỗi sau (được thấy trong một qui trình bị lây nhiễm với phần mềm độc hại), tự nhận diện phần mềm độc hại và tương tự như những chuỗi được thấy trong các mẫu của Barain:
(Xem hình bên dưới, phần tiếng Anh)
  • Các mẫu chia sẻ cùng Bootkit, SHA-256: ba21e452ee5ff3478f21b293a134b30ebf6b7f4ec03f8c8153202a740d7978b2.
  • Các mẫu chia sẻ cùng tệp hệ thống driverw.sys, SHA-256: 62bde3bac3782d36f9f2e56db097a4672e70463e11971fad5de060b191efb196.
Hình 2. Ảnh chỉ ra nạn nhân có các hình ảnh các thành viên của Ginbot 7 - nhóm đối lập Ethiopia (Xem ảnh ở phần tiếng Anh bên dưới)
Trong trường hợp này ảnh có các hình chụp các thành viên của nhóm đối lập người Ethiopia. Ginbot 7. Ngược lại, Ginbot 7 đã được chính phủ Ethiopia chỉ định là một nhóm khủng bố vào năm 2001. Ủy ban Bảo vệ các Nhà báo (CPJ) và Theo dõi Quyền Con người (Human Rights Watch) cả 2 đều đã chỉ trích hành động này. CPJ đã chỉ ra rằng đang có một hiệu ứng làm nhụt nhuệ khí trong báo cáo chính trị hợp pháp về nhóm và lãnh đạo của nó.
Sự tồn tại của một mẫu FinSpy có hình ảnh đặc thù Ethiopia, và nó giao tiếp với một máy chủ chỉ huy và kiểm soát vẫn còn tích cực tại Ethiopia gợi ý mạnh mẽ rằng chính phủ Ethiopia đang sử dụng FinSpy.
3.2 FinSpy Mobile tại Việt Nam
Chúng tôi gần đây đã có được và phân tích được một mẫu phần mềm độc hại6 và đã nhận diện được nó như là FinSpy Mobile cho Android. Mẫu này giao tiếp với một máy chủ chỉ huy & kiểm soát ở Việt Nam, và trích lọc các thông điệp văn bản đối với một số điện thoại của Việt Nam.
Bộ FinFisher bao gồm các phiên bản điện thoại di động của FinSpy cho tất cả các nền tảng chính bao gồm iOS, Android, Windows Mobile, Symbian và Blackberry. Các tính năng của nó tương tự một cách rộng rãi với phiên bản cho máy tính cá nhân PC của FinSpy được nhận diện ở Bahrain, nhưng nó cũng có chứa các tính năng đặc thù di động như theo dõi GPS và tính nawnng cho việc âm thâm 'gián điệp' các cuộc gọi để ăn cắp trong các cuộc trao đổi gần điện thoại. Một phân tích sâu bộ FinSpy Mobile các cửa hậu đã được đưa ra trong một bài viết trên blog gần đây: Điện thoại thông minh - Ai đã yêu tôi: FinFisher đi Di động?

MD5
573ef0b7ff1dab2c3f785ee46c51a54f
SHA-1
d58d4f6ad3235610bafba677b762f3872b0f67cb
SHA-256
363172a2f2b228c7b00b614178e4ffa00a3a124200ceef4e6d7edb25a4696345
Mẫu đã có một tệp cấu hình7 nó chỉ ra chức năng có sẵn, và các lựa chọn từng được các chức năng đó cho phép triển khai:
Hình 3: Ảnh của một phần tệp cấu hình cho mẫu FinSpy Mobile (Xem ảnh ở phần tiếng Anh bên dưới)
Thú vị, tệp cấu hình cũng chỉ định một số điện thoại Việt Nam được sử dụng cho máy chủ chỉ huy và kiểm soát dựa vào SMS:
Section Type: TlvTypeConfigSMSPhoneNumber
Section Data: “+841257725403″
Máy chủ chỉ huy và kiểm soát là trong một dãy được Công ty Hạ tầng Viễn thông CMC tại Hà Nội cung cấp:
IP Address: 183.91.2.199
inetnum: 183.91.0.0 – 183.91.9.255
netname: FTTX-NET
country: Vietnam
address: CMC Telecom Infrastructure Company
address: Tang 3, 16 Lieu Giai str, Ba Dinh, Ha Noi

Máy chủ này từng tích cực cho tới rất gần đây và đã khớp với các chữ ký của chúng tôi cho một máy chủ chỉ huy & kiểm soát FinSpy. Cả IP của máy chủ chỉ huy & kiểm soát và số điện thoại được sử dụng cho sự trích các thông điệp văn bản là tại Việt Nam mà chỉ ra một chiến dịch trong nước.
Hình như sự triển khai FinSpy này tại Việt Nam đang gây lo lắng trong ngữ cảnh của những mối đe dọa gần đây chống lại tự do ngôn luận và hoạt động xã hội trực tuyến. Vào năm 2012, Việt Nam đã đưa ra các luật kiểm duyệt mới trong một chiến dịch làm phiền, hăm dọa và cầm giữ đang diễn ra chống lại các blogger mà nói chống lại chế độ. Điều này đã lên tới cực điểm trong vụ kiện 17 blogger, 14 trong số đó gần đây đã bị kết tội và bị phạt từ từ 3 đến 13 năm8.
4. Thảo luận ngắn về những phát hiện
Các công ty bán phần mềm giám sát và thâm nhập thường kêu rằng các công cụ của họ chỉ được sử dụng để theo dõi các tội phạm và bọn khủng bố. FinFisher, VUPEN và Hacking Team tất cả đã sử dụng lối nói tương tự9. Vâng một loạt bằng chứng đang gia tưng gợi ý rằng các công cụ đó đang thương xuyên được các quốc gia nơi mà hoạt động chính trị không chính thống và phát ngôn được tội phạm hóa. Những phát hiện của chúng tôi nhấn mạnh sự nghịch nhĩ đang gia tăng giữa những kêu ca công khai của Gamma rằng FinSpy được sử dụng hoàn toàn để theo dõi “những kẻ xấu” và một loạt các bằng chứng gợi ý rằng công cụ đó có và tiếp tục được sử dụng để chống lại các nhóm đối lập và các nhà hoạt động về quyền con người.
Trong khi công việc của chúng tôi nhấn mạnh vào những nhánh quyền con người về sự sử dụng sai công nghệ này, điều rõ ràng là có những mối lo ngại rộng lớn hơn. Một thị trường toàn cầu và không được điều chỉnh đối với các công cụ tấn công số tiềm tàng hiện diện một rủi ro mới cho cả an ninh không gian mạng quốc gia và các công ty. Vào ngày 12/03, Giám đốc Tình báo Quốc gia Mỹ James Clapper đã nói trong báo cáo quốc hội đầu năm của ông về các mối đe dọa an ninh:
“... các công ty phát triển và bán các công nghệ chất lượng chuyên nghiệp để hỗ trợ các hoạt động không gian mạng - thường gắn thương hiệu cho các công cụ đó như là các sản phẩm nghiên cứu an ninh phòng thủ hoặc can thiệp hợp pháp. Các chính phủ nước ngoài sử dụng rồi một số công cụ đó để nhằm vào các hệ thống của Mỹ”.
Sự nở rộ toàn cầu không được kiểm tra các sản phẩm như FinFisher là trường hợp mạnh mẽ cho tranh luận chính sách về phần mềm giám sát và sự thương mại hóa các khả năng tấn công không gian mạng.
Những phát hiện mới nhất của chúng tôi đưa ra một cái nhìn được cập nhất về sự nở rộ toàn cầu của FinSpy. Chúng tôi đã xác định được 36 máy chủ chỉ huy & kiểm soát FinSpy tích cực, bao gồm 30 máy chủ còn chưa được biết trước đó. Danh sách của chúng tôi về các máy chủ có khả năng là không đầy đủ, khi một số máy chủ FinSpy triển khai các biện pháp đối phó để ngăn chặn sự dò tìm ra. Bao gồm các máy chủ được phát hiện vào năm ngoái, chúng tôi bây giờ tính được các máy chủ FinSpy ở 25 quốc gia, bao gồm các quốc gia với các hồ sơ đáng lo ngại về các quyền con người. Điều này là biểu thị một xu hướng toàn cầu hướng tới sự mua sắm các khả năng tấn công không gian mạng của các chế độ không dân chủ từ các công ty thương mại phương Tây.
Các mẫu FinSpy tại Việt Nam và Ethiopia mà chúng tôi đã nhận diện được sự điều tra đảm bảo xa hơn, đặc biệt đưa ra những hồ sơ tồi về quyền con người của các nước đó. Thực tế là phiên bản FinSpy của Ethiopia sử dụng các hình ảnh của các thành viên đối lập như là manh mối gợi ý nó có thể được sử dụng cho các hoạt động giám sát có ảnh hưởng chính trị, hơn là các mục đích ép tuân thủ luật một cách nghiệm ngặt.
Mẫu của Ethiopia là mẫu FinSpy thứ 2 mà chúng tôi đã phát hiện có giao tiếp với một máy chủ chúng tôi đã nhận diện bằng việc quét như một máy chủ FinSpy chỉ huy & kiểm soát. Điều này làm cho các kết quả quét của chúng tôi có hiệu lực, và làm dấy lên câu hỏi đối với tuyên bố của Gamma rằng những máy chủ như vậy “không … từ dòng sản phẩm FinFisher10. Những tương tự giữa mẫu Ethiopia và những mẫu được sử dụng để nhằm vào các nhà hoạt động xã hội của Bahrain cũng đưa ra câu hỏi cho những tuyên bố trước đây của Gamma International rằng các mẫu Bahrain từng là các bản sao demo bị ăn cắp.
Trong khi việc bán các phần mềm giám sát và thâm nhập như vậy phần lớn chưa được điều chỉnh đúng mức, thì vấn đề đã đưa ra sự soi xét mức cao đã gia tăng. Vào tháng 9 nằm ngoái, bộ trưởng ngoại giao Đức, Guido Westerwelle, đã kêu gọi một lệnh cấm rộng khắp EU về xuất khẩu các phần mềm giám sát như vậy đối với các quốc gia chuyên chế11. Trong cuộc phỏng vấn vào tháng 12/2012, nghị sỹ quốc hội châu Âu (MEP) Marietje Schaake, hiện là người chịu trách nhiệm báo cáo cho chiến lược đầu tiên của EU về sự tự do số trong chính sách đối ngoại, đã nói rằng từng “hoàn toàn sốc” rằng các công ty của châu Âu tiếp tục xuất khẩu các công nghệ đàn áp tới các nước nơi mà qui định của luật còn gây tranh cãi12.
Chúng tôi thúc giục các nhóm xã hội dân sự và các nhà báo đi theo các phát hiện của chúng tôi tại các nước bị ảnh hưởng. Chúng tôi cũng hy vọng rằng những phát hiện của chúng tôi sẽ đưa ra thông tin có giá trị cho tranh luận chính sách và công nghệ hiện hành về phần mềm giám sát và sự thương mại hóa các khả năng tấn công không gian mạng.
Các hiệu chỉnh (15/03/2013)
* Bảng các địa chỉ IP máy chủ FinFisher đã được rà soát lại so với xuất bản ban đầu. Vì một vấn đề trong quá trình định dạng, Ethio Telecom từng được xác định không đúng như lf tại Estonia chứ không phải tại Ethiopia và Iusacell PCS từng được xác định không đúng như là tại Malaysia chứ không phải ở Mexico. Dãy IP 117.121.xxx.xxx tương ứng với GPLHost, nằm ở Malaysia. Iusacell PCS tương ứng với 187.188.xxx.xxx và nằm ở Mexico.
Thừa nhận
Chúng tôi muốn cảm ơn Eva Galperin và Quỹ Điện tử Phi biên giới - EFF (Electronic Frontier Foundation), Privacy International, Bahrain Watch, and Drew Hintz.
Tham khảo các phương tiện truyền thông
Tham khảo các phương tiện truyền thông về báo cáo này gồm HuffingtonPost Canada, Salon, The Verge, Bloomberg Business Week, TheYoungTurks.
(Xem phần chú giải cuối trang ở cuối cùng của bài, sau phần tiếng Anh).
Authors: Morgan Marquis-Boire, Bill Marczak, Claudio Guarnieri, and John Scott-Railton.
This post describes the results of a comprehensive global Internet scan for the command and control servers of FinFisher’s surveillance software. It also details the discovery of a campaign using FinFisher in Ethiopia used to target individuals linked to an opposition group. Additionally, it provides examination of a FinSpy Mobile sample found in the wild, which appears to have been used in Vietnam.
Summary of Key Findings
  • We have found command and control servers for FinSpy backdoors, part of Gamma International’s FinFisher “remote monitoring solution,” in a total of 25 countries: Australia, Bahrain, Bangladesh, Brunei, Canada, Czech Republic, Estonia, Ethiopia, Germany, India, Indonesia, Japan, Latvia, Malaysia, Mexico, Mongolia, Netherlands, Qatar, Serbia, Singapore, Turkmenistan, United Arab Emirates, United Kingdom, United States, Vietnam.
  • A FinSpy campaign in Ethiopia uses pictures of Ginbot 7, an Ethiopian opposition group, as bait to infect users. This continues the theme of FinSpy deployments with strong indications of politically-motivated targeting.
  • There is strong evidence of a Vietnamese FinSpy Mobile Campaign. We found an Android FinSpy Mobile sample in the wild with a command & control server in Vietnam that also exfiltrates text messages to a local phone number.
  • These findings call into question claims by Gamma International that previously reported servers were not part of their product line, and that previously discovered copies of their software were either stolen or demo copies.
1. Background and Introduction
FinFisher is a line of remote intrusion and surveillance software developed by Munich-based Gamma International GmbH. FinFisher products are marketed and sold exclusively to law enforcement and intelligence agencies by the UK-based Gamma Group.1 Although touted as a “lawful interception” suite for monitoring criminals, FinFisher has gained notoriety because it has been used in targeted attacks against human rights campaigners and opposition activists in countries with questionable human rights records.2
In late July 2012, we published the results of an investigation into a suspicious e-mail campaign targeting Bahraini activists.3 We analyzed the attachments and discovered that they contained the FinSpy spyware, FinFisher’s remote monitoring product. FinSpy captures information from an infected computer, such as passwords and Skype calls, and sends the information to a FinSpy command & control (C2) server. The attachments we analyzed sent data to a command & control server inside Bahrain.
This discovery motivated researchers to search for other command & control servers to understand how widely FinFisher might be used. Claudio Guarnieri at Rapid7 (one of the authors of this report) was the first to search for these servers. He fingerprinted the Bahrain server and looked at historical Internet scanning data to identify other servers around the world that responded to the same fingerprint. Rapid7 published this list of servers, and described their fingerprinting technique. Other groups, including CrowdStrike and SpiderLabs also analyzed and published reports on FinSpy.
Immediately after publication, the servers were apparently updated to evade detection by the Rapid7 fingerprint. We devised a different fingerprinting technique and scanned portions of the internet. We confirmed Rapid7’s results, and also found several new servers, including one inside Turkmenistan’s Ministry of Communications. We published our list of servers in late August 2012, in addition to an analysis of mobile phone versions of FinSpy. FinSpy servers were apparently updated again in October 2012 to disable this newer fingerprinting technique, although it was never publicly described.
Nevertheless, via analysis of existing samples and observation of command & control servers, we managed to enumerate yet more fingerprinting methods and continue our survey of the internet for this surveillance software. We describe the results in this post.
Civil society groups have found cause for concern in these findings, as they indicate the use of FinFisher products by countries like Turkmenistan and Bahrain with problematic records on human rights, transparency, and rule of law. In an August 2012 response to a letter from UK-based NGO Privacy International, the UK Government revealed that at some unspecified time in the past, it had examined a version of FinSpy, and communicated to Gamma that a license would be required to export that version outside of the EU. Gamma has repeatedly denied links to spyware and servers uncovered by our research, claiming that the servers detected by our scans are “not … from the FinFisher product line.”4 Gamma also claims that the spyware sent to activists in Bahrain was an “old” demonstration version of FinSpy, stolen during a product presentation.
In February 2013, Privacy International, the European Centre for Constitutional and Human Rights (ECCHR), the Bahrain Center for Human Rights, Bahrain Watch, and Reporters Without Borders filed a complaint with the Organization for Economic Cooperation and Development (OECD), requesting that this body investigate whether Gamma violated OECD Guidelines for Multinational Enterprises by exporting FinSpy to Bahrain. The complaint called previous Gamma statements into question, noting that at least two different versions (4.00 and 4.01) of FinSpy were found in Bahrain, and that Bahrain’s server was a FinFisher product and was likely receiving updates from Gamma. This complaint, as laid out by Privacy International states that Gamma:
  • failed to respect the internationally recognised human rights of those affected by [its] activities
  • caused and contributed to adverse human rights impacts in the course of [its] business activities
  • failed to prevent and mitigate adverse human rights impacts linked to [its] activities and products, and failed to address such impacts where they have occurred
  • failed to carry out adequate due diligence (including human rights due diligence); and
  • failed to implement a policy commitment to respect human rights.
According to recent reporting, German Federal Police appear to have plans to purchase and use the FinFisher suite of tools domestically within Germany.5 Meanwhile, findings by our group and others continue to illustrate the global proliferation of FinFisher’s products. Research continues to uncover troubling cases of FinSpy in countries with dismal human rights track records, and politically repressive regimes. Most recently, work by Bahrain Watch has confirmed the presence of a Bahraini FinFisher campaign, and further contradicted Gamma’s public statements. This post adds to the list by providing an updated list of FinSpy Command & Control servers, and describing the FinSpy malware samples in the wild which appear to have been used to target victims in Ethiopia and Vietnam.
We present these updated findings in the hopes that we will further encourage civil society groups and competent investigative bodies to continue their scrutiny of Gamma’s activities, relevant export control issues, and the issue of the global and unregulated proliferation of surveillance malware.
2. FinFisher: Updated Global Scan
Around October 2012, we observed that the behavior of FinSpy servers began to change. Servers stopped responding to our fingerprint, which had exploited a quirk in the distinctive FinSpy wire protocol. We believe that this indicates that Gamma either independently changed the FinSpy protocol, or was able to determine key elements of our fingerprint, although it has never been publicly revealed.
In the wake of this apparent update to FinSpy command & control servers, we devised a new fingerprint and conducted a scan of the internet for FinSpy command & control servers. This scan took roughly two months and involved sending more than 12 billion packets. Our new scan identified a total of 36 FinSpy servers, 30 of which were new and 6 of which we had found during previous scanning. The servers operated in 19 different countries. Among the FinSpy servers we found, 7 were in countries we hadn’t seen before.
New Countries
Canada, Bangladesh, India, Malaysia, Mexico, Serbia, Vietnam
In our most recent scan, 16 servers that we had previously found did not show up. We suspect that after our earlier scans were published the operators moved them. Many of these servers were shut down or relocated after the publication of previous results, but before the apparent October 2012 update. We no longer found FinSpy servers in 4 countries where previous scanning identified them (Brunei, UAE, Latvia, and Mongolia). Taken together, FinSpy servers are currently, or have been present, in 25 countries.
Australia, Bahrain, Bangladesh, Brunei, Canada, Czech Republic, Estonia, Ethiopia, Germany, India, Indonesia, Japan, Latvia, Malaysia, Mexico, Mongolia, Netherlands, Qatar, Serbia, Singapore, Turkmenistan, United Arab Emirates, United Kingdom, United States, Vietnam.
Importantly, we believe that our list of servers is incomplete due to the large diversity of ports used by FinSpy servers, as well as other efforts at concealment. Moreover, discovery of a FinSpy command and control server in a given country is not a sufficient indicator to conclude the use of FinFisher by that country’s law enforcement or intelligence agencies. In some cases, servers were found running on facilities provided by commercial hosting providers that could have been purchased by actors from any country.
The table below shows the FinSpy servers detected in our latest scan. We list the full IP address of servers that have been previously publicly revealed. For active servers that have not been publicly revealed, we list the first two octets only. Releasing complete IP addresses in the past has not proved useful, as the servers are quickly shut down and relocated.*

IP
Operator
Routed to Country
117.121.xxx.xxx
GPLHost
Australia
77.69.181.162
Batelco ADSL Service
Bahrain
180.211.xxx.xxx
Telegraph & Telephone Board
Bangladesh
168.144.xxx.xxx
Softcom, Inc.
Canada
168.144.xxx.xxx
Softcom, Inc.
Canada
217.16.xxx.xxx
PIPNI VPS
Czech Republic
217.146.xxx.xxx
Zone Media UVS/Nodes
Estonia
213.55.99.74
Ethio Telecom
Ethiopia
80.156.xxx.xxx
Gamma International GmbH
Germany
37.200.xxx.xxx
JiffyBox Servers
Germany
178.77.xxx.xxx
HostEurope GmbH
Germany
119.18.xxx.xxx
HostGator
India
119.18.xxx.xxx
HostGator
India
118.97.xxx.xxx
PT Telkom
Indonesia
118.97.xxx.xxx
PT Telkom
Indonesia
103.28.xxx.xxx
PT Matrixnet Global
Indonesia
112.78.143.34
Biznet ISP
Indonesia
112.78.143.26
Biznet ISP
Indonesia
117.121.xxx.xxx
GPLHost
Malaysia
187.188.xxx.xxx
Iusacell PCS
Mexico
201.122.xxx.xxx
UniNet
Mexico
164.138.xxx.xxx
Tilaa
Netherlands
164.138.28.2
Tilaa
Netherlands
78.100.57.165
Qtel – Government Relations
Qatar
195.178.xxx.xxx
Tri.d.o.o / Telekom Srbija
Serbia
117.121.xxx.xxx
GPLHost
Singapore
217.174.229.82
Ministry of Communications
Turkmenistan
72.22.xxx.xxx
iPower, Inc.
United States
166.143.xxx.xxx
Verizon Wireless
United States
117.121.xxx.xxx
GPLHost
United States
117.121.xxx.xxx
GPLHost
United States
117.121.xxx.xxx
GPLHost
United States
117.121.xxx.xxx
GPLHost
United States
183.91.xxx.xxx
CMC Telecom Infrastructure Company
Vietnam
Several of these findings are especially noteworthy:
3. Ethiopia and Vietnam: In-depth Discussion of New Samples
3.1 FinSpy in Ethiopia
We analyzed a recently acquired malware sample and identified it as FinSpy. The malware uses images of members of the Ethiopian opposition group,  Ginbot 7, as bait. The malware communicates with a FinSpy Command & Control server in Ethiopia, which was first identified by Rapid7 in August 2012. The server has been detected in every round of scanning, and remains operational at the time of this writing. It can be found in the following address block run by Ethio Telecom, Ethiopia’s state-owned telecommunications provider:
IP: 213.55.99.74
route: 213.55.99.0/24
descr: Ethio Telecom
origin: AS24757
mnt-by: ETC-MNT
member-of: rs-ethiotelecom
source: RIPE # Filtered

The server appears to be updated in a manner consistent with other servers, including servers in Bahrain and Turkmenistan.
MD5
8ae2febe04102450fdbc26a38037c82b
SHA-1
1fd0a268086f8d13c6a3262d41cce13470886b09
SHA-256
ff6f0bcdb02a9a1c10da14a0844ed6ec6a68c13c04b4c122afc559d606762fa

The sample is similar to a previously analyzed sample of FinSpy malware sent to activists in Bahrain in 2012. Just like Bahraini samples, the malware relocates itself and drops a JPG image with the same filename as the sample when executed by an unsuspecting user. This appears to be an attempt to trick the victim into believing the opened file is not malicious. Here are a few key similarities between the samples:
  • The PE timestamp “2011-07-05 08:25:31” of the packer is exactly the same as the Bahraini sample.
  • The following string (found in a process infected with the malware), self-identifies the malware and is similar to strings found in the Bahraini samples:
  • The samples share the same Bootkit, SHA-256: ba21e452ee5ff3478f21b293a134b30ebf6b7f4ec03f8c8153202a740d7978b2.
  • The samples share the same driverw.sys file, SHA-256: 62bde3bac3782d36f9f2e56db097a4672e70463e11971fad5de060b191efb196.

Figure 2. The image shown to the victim contains pictures of members of the Ginbot 7 Ethiopian opposition group
In this case the picture contains photos of members of the Ethiopian opposition group,  Ginbot 7. Controversially, Ginbot 7 was designated a terrorist group by the Ethiopian Government in 2011. The Committee to Protect Journalists (CPJ) and Human Rights Watch have both criticized this action, CPJ has pointed out that it is having a chilling effect on legitimate political reporting about the group and its leadership.
The existence of a FinSpy sample that contains Ethiopia-specific imagery, and that communicates with a still-active command & control server in Ethiopia strongly suggests that the Ethiopian Government is using FinSpy.
3.2 FinSpy Mobile in Vietnam
We recently obtained and analyzed a malware sample6 and identified it as FinSpy Mobile for Android. The sample communicates with a command & control server in Vietnam, and exfiltrates text messages to a Vietnamese telephone number.
The FinFisher suite includes mobile phone versions of FinSpy for all major platforms including iOS, Android, Windows Mobile, Symbian and Blackberry. Its features are broadly similar to the PC version of FinSpy identified in Bahrain, but it also contains mobile-specific features such as GPS tracking and functionality for silent ‘spy’ calls to snoop on conversations near the phone. An in-depth analysis of the FinSpy Mobile suite of backdoors was provided in an earlier blog post: The Smartphone Who Loved Me: FinFisher Goes Mobile?
MD5
573ef0b7ff1dab2c3f785ee46c51a54f
SHA-1
d58d4f6ad3235610bafba677b762f3872b0f67cb
SHA-256
363172a2f2b228c7b00b614178e4ffa00a3a124200ceef4e6d7edb25a4696345
The sample included a configuration file7 that indicates available functionality, and the options that have been enabled by those deploying it:

Figure 3. Image of a section of a configuration file for the FinSpy Mobile sample
Interestingly, the configuration file also specifies a Vietnamese phone number used for SMS based command and control:
Section Type: TlvTypeConfigSMSPhoneNumber
Section Data: “+841257725403″
The command and control server is in a range provided by the CMC Telecom Infrastructure Company in Hanoi:
IP Address: 183.91.2.199
inetnum: 183.91.0.0 – 183.91.9.255
netname: FTTX-NET
country: Vietnam
address: CMC Telecom Infrastructure Company
address: Tang 3, 16 Lieu Giai str, Ba Dinh, Ha Noi
This server was active until very recently and matched our signatures for a FinSpy command and control server. Both the command & control server IP and the phone number used for text-message exfiltration are in Vietnam which indicates a domestic campaign.
This apparent FinSpy deployment in Vietnam is troubling in the context of recent threats against online free expression and activism. In 2012, Vietnam introduced new censorship laws amidst an ongoing harassment, intimidation, and detention campaign against of bloggers who spoke out against the regime. This culminated in the trial of 17 bloggers, 14 of whom were recently convicted and sentenced to terms ranging from 3 to 13 years.8
4. Brief Discussion of Findings
Companies selling surveillance and intrusion software commonly claim that their tools are only used to track criminals and terrorists. FinFisher, VUPEN and Hacking Team have all used similar language.9 Yet a growing body of evidence suggests that these tools are regularly obtained by countries where dissenting political activity and speech is criminalized. Our findings highlight the increasing dissonance between Gamma’s public claims that FinSpy is used exclusively to track “bad guys” and the growing body of evidence suggesting that the tool has and continues to be used against opposition groups and human rights activists.
While our work highlights the human rights ramifications of the mis-use of this technology, it is clear that there are broader concerns.  A global and unregulated market for offensive digital tools potentially presents a novel risk to both national and corporate cyber-security. On March 12th, US Director of National Intelligence James Clapper stated in his yearly congressional report on security threats:
“…companies develop and sell professional-quality technologies to support cyberoperations–often branding these tools as lawful-intercept or defensive security research products. Foreign governments already use some of these tools to target U.S. Systems.”
The unchecked global proliferation of products like FinFisher makes a strong case for policy debate about surveillance software and the commercialization of offensive cyber-capabilities.
Our latest findings give an updated look at the global proliferation of FinSpy. We identified 36 active FinSpy command & control servers, including 30 previously-unknown servers. Our list of servers is likely incomplete, as some FinSpy servers employ countermeasures to prevent detection. Including servers discovered last year, we now count FinSpy servers in 25 countries, including countries with troubling human rights records. This is indicative of a global trend towards the acquisition of offensive cyber-capabilities by non-democratic regimes from commercial Western companies.
The Vietnamese and Ethiopian FinSpy samples we identified warrant further investigation, especially given the poor human rights records of these countries. The fact that the Ethiopian version of FinSpy uses images of opposition members as bait suggests it may be used for politically influenced surveillance activities, rather than strictly law enforcement purposes.
The Ethiopian sample is the second FinSpy sample we have discovered that communicates with a server we identified by scanning as a FinSpy command & control server. This further validates our scanning results, and calls into question Gamma’s claim that such servers are “not … from the FinFisher product line.”10 Similarities between the Ethiopian sample and those used to target Bahraini activists also bring into question Gamma International’s earlier claims that the Bahrain samples were stolen demonstration copies.
While the sale of such intrusion and surveillance software is largely unregulated, the issue has drawn increased high-level scrutiny. In September of last year, the German foreign minister, Guido Westerwelle, called for an EU-wide ban on the export of such surveillance software to totalitarian states.11 In a December 2012 interview, Marietje Schaake (MEP), currently the rapporteur for the first EU strategy on digital freedom in foreign policy, stated that it was “quite shocking” that Europe companies continue to export repressive technologies to countries where the rule of law is in question.12
We urge civil society groups and journalists to follow up on our findings within affected countries. We also hope that our findings will provide valuable information to the ongoing technology and policy debate about surveillance software and the commercialisation of offensive cyber-capabilities.
Corrections (15 March 2013):
* The table of FinFisher server IP addresses has been revised since the original publication. Due to an issue during formatting, Ethio Telecom was incorrectly identified as being in Estonia rather than in Ethiopia and Iusacell PCS was incorrectly identified as being in Malaysia rather than in Mexico. The IP range 117.121.xxx.xxx corresponds with GPLHost, which is located in Malaysia.  Iusacell PCS corresponds with 187.188.xxx.xxx and is located in Mexico.
Acknowledgements
We’d like to thank Eva Galperin and the Electronic Frontier Foundation (EFF), Privacy International, Bahrain Watch, and Drew Hintz.
Media Coverage
Media coverage of the report includes HuffingtonPost Canada, Salon, The Verge, Bloomberg Business Week, TheYoungTurks.
Footnotes
Lời chú cuối trang
1https://www.gammagroup.com/
2Software Meant to Fight Crime Is Used to Spy on Dissidents, http://goo.gl/GDRMe, New York Times, August 31, 2012, Page A1 Print edition.
3Cyber Attacks on Activists Traced to FinFisher Spyware of Gamma, http://goo.gl/nJH7o, Bloomberg, July 25, 2012
4http://bits.blogs.nytimes.com/2012/08/16/company-denies-role-in-recently-uncovered-spyware/
5http://www.sueddeutsche.de/digital/finfisher-entwickler-gamma-spam-vom-staat-1.1595253
6This sample has also been discussed by Denis Maslennikov from Kasperksy in his analyses of FinSpy Mobile – https://www.securelist.com/en/analysis/204792283/Mobile_Malware_Evolution_Part_6
7Configuration parsed with a tool written by Josh Grunzweig of Spider Labs – http://blog.spiderlabs.com/2012/09/finspy-mobile-configuration-and-insight.html
8https://www.eff.org/deeplinks/2013/01/bloggers-trial-vietnam-are-part-ongoing-crackdown-free-expression
9https://www.securityweek.com/podcast-vupen-ceo-chaouki-bekrar-addresses-zero-day-marketplace-controversy-cansecwest
10http://bits.blogs.nytimes.com/2012/08/16/company-denies-role-in-recently-uncovered-spyware/
11http://www.guardian.co.uk/uk/2012/nov/28/offshore-company-directors-military-intelligence
12http://www.vieuws.eu/foreign-affairs/digital-freedoms-marietje-schaake-mep-alde/
Post written by Morgan Marquis-Boire

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.