您应该信任您的互联网服务提供商吗?这取决于你是谁以及你在哪里。如果是这样,您的操作员可能是国家监视行动的同谋,并为您提供(既不可见也不未知)您喜爱的软件的损坏版本。你认为我们正处于偏执的妄想之中吗?不幸的是没有。
公司安全研究员埃塞特刚刚发现七个不同国家的计算机感染了 FinFisher 软件。该应用程序由 Gamma Group 发布,被安全研究人员所熟知,因为政府机构使用它来执行监视操作。这次值得注意的是,在这七个国家中的两个国家,受害者是通过从网络下载常规软件而被该间谍软件感染的。
这怎么可能?当目标单击下载链接时,攻击者会使用以下请求动态重定向链接:HTTP 307。然后,受害者会收到所请求软件的损坏版本,其中集成了 FinFisher。
FinFisher 感染的软件包括 WhatsApp、Skype、WinRAR、VLC、Avast、TrueCrypt 和 Threema。在后三种情况下,攻击尤其恶毒,因为受害者有一种使用安全软件更多地保护自己的印象,而正是这一点引狼入室。
理论上,这种链接重定向可能发生在用户和合法下载服务器之间的任何地方。例如,在被黑客入侵的 Wi-Fi 接入点处。但根据 Eset 的说法,“最有可能的选择”是 ISP 的,这有几个原因。由于维基解密,我们知道 Gamma Group 在其 FinFisher 系列中有一个名为“FinFly ISP”的解决方案,该解决方案安装在 ISP 处,允许“在目标下载中隐藏监控软件”或来自“部署监控软件作为更新”。此外,事实证明,来自同一国家的所有受害者都是同一 ISP 的客户。不幸的是,Eset 没有指出这些国家和 ISP。
存在解决方案
如何保护自己免受此类攻击? 01net.com 联系 Eset 时表示,如果下载站点采用 HTTPS,则用户是安全的。很遗憾,“一些官方网站默认情况下仍然使用 HTTP”。因此,应避免使用这些网站,除非您使用“使用位于另一个国家/地区的服务器进行加密的 VPN”,出版商告诉我们。这样的 VPN 可以创建加密隧道,其中的数据流完全隐藏,包括对 ISP 隐藏的数据流。
此外,Eset 建议系统地检查软件的电子签名。这有助于验证下载文件的完整性和真实性。一个例子是维拉加密,TrueCrypt 的后继者,TrueCrypt 为其所有软件包提供 PGP 签名。不幸的是,这个验证过程有点技术性,并且需要熟悉非对称加密。此外,并非所有发行商都签署了他们的软件。
如果您不确定自己的下载情况,Eset 建议将文件提交到网站Virustotal.com,一种使用市场上所有防病毒引擎的在线防病毒扫描服务。如果该文件已知,您会立即知道。
