您應該信任您的網路服務供應商嗎?這取決於你是誰以及你在哪裡。如果是這樣,您的操作員可能是國家監視行動的同謀,並為您提供(既不可見也不未知)您喜愛的軟體的損壞版本。你認為我們正處於偏執的妄想之中嗎?不幸的是沒有。
公司安全研究員埃塞特剛剛發現七個不同國家的電腦感染了 FinFisher 軟體。該應用程式由 Gamma Group 發布,並被安全研究人員所熟知,因為政府機構使用它來執行監視操作。這次值得注意的是,在這七個國家中的兩個國家,受害者是透過從網路下載常規軟體而被該間諜軟體感染的。
這怎麼可能?當目標點擊下載連結時,攻擊者會使用以下請求動態重定向連結:HTTP 307。然後,受害者會收到所請求軟體的損壞版本,其中整合了 FinFisher。
FinFisher 感染的軟體包括 WhatsApp、Skype、WinRAR、VLC、Avast、TrueCrypt 和 Threema。在後三種情況下,攻擊尤其惡毒,因為受害者有一種使用安全軟體更多地保護自己的印象,而正是這一點引狼入室。
理論上,這種連結重定向可能發生在使用者和合法下載伺服器之間的任何地方。例如,在被駭客入侵的 Wi-Fi 存取點。但根據 Eset 的說法,“最有可能的選擇”是 ISP 的,這有幾個原因。由於維基解密,我們知道 Gamma Group 在其 FinFisher 系列中有一個名為“FinFly ISP”的解決方案,該解決方案安裝在 ISP 處,允許“在目標下載中隱藏監控軟體”或來自“部署監控軟體作為更新”。此外,事實證明,來自同一國家的所有受害者都是同一 ISP 的客戶。不幸的是,Eset 並沒有指出這些國家和 ISP。
存在解決方案
如何保護自己免受此類攻擊? 01net.com 聯絡 Eset 時表示,如果下載網站採用 HTTPS,使用者是安全的。很遺憾,“一些官方網站默認情況下仍然使用 HTTP”。因此,應避免使用這些網站,除非您使用“使用位於另一個國家的伺服器進行加密的 VPN”,出版商告訴我們。這樣的 VPN 可以建立加密隧道,其中的資料流完全隱藏,包括對 ISP 隱藏的資料流。
此外,Eset 建議系統地檢查軟體的電子簽名。這有助於驗證下載檔案的完整性和真實性。一個例子是維拉加密,TrueCrypt 的後繼者,TrueCrypt 為其所有軟體包提供 PGP 簽章。不幸的是,這個驗證過程有點技術性,並且需要熟悉非對稱加密。此外,並非所有發行商都簽署了他們的軟體。
如果您不確定自己的下載情況,Eset 建議將文件提交到網站Virustotal.com,一種使用市場上所有防毒引擎的線上防毒掃描服務。如果該文件已知,您會立即知道。
