Posting ini menjelaskan hasil scan di Internet secara global untuk server komando dan kontrol (C&C/C2) khusus perangkat lunak pengintai/spyware FinFisher. Ini rincian penemuan yang menggunakan FinFisher di Ethiopia juga digunakan untuk menargetkan individu-individu terkait dalam kelompok oposisi disana. Selain itu, Kami menyediakan contoh pemeriksaan HP/Mobile Phone dari spyware FinSpy ini yang ditemukan di dunia cyber scara bebas, yang tampaknya juga telah digunakan di Indonesia dan beberapa negara lainnya.
Ringkasan Temuan
- Kami telah menemukan komando dan kontrol server untuk backdoors FinSpy, bagian dari FinFisher "solusi pemantauan jarak jauh," Gamma International di total 25 negara: Australia, Bahrain, Bangladesh, Brunei, Kanada, Republik Ceko, Estonia, Ethiopia, Jerman, India, Indonesia, Jepang, Latvia, Malaysia, Meksiko, Mongolia, Belanda, Qatar, Serbia, Singapura, Turkmenistan, Uni Emirat Arab, Inggris, Amerika Serikat, Vietnam.
- Sebuah operasi FinSpy di Ethiopia menggunakan gambar Ginbot 7, kelompok oposisi Ethiopia, sebagai umpan untuk menginfeksi pengguna. Ini melanjutkan tema penyebaran FinSpy dengan indikasi kuat penargetan bermotif politik.
- Ada bukti kuat dari Vietnam FinSpy Handphone Campaign. Kami menemukan Android FinSpy Handphone contoh di dunia cyber dengan perintah & server kontrol di Vietnam yang juga exfiltrates pesan teks ke nomor telepon lokal.
- Temuan ini dipertanyakan oleh Gamma International yang sebelumnya dilaporkan server yang bukan bagian dari produk mereka, dan bahwa ditemukan sebelumnya salinan perangkat lunak mereka entah dicuri atau demo eksemplar dan digunakan oleh pihak ayng tidak bertanggung jawab
1. Latar Belakang dan Pengantar
FinFisher adalah sebuah software untuk membobol dan mengintai jarak jauh dan perangkat lunak ini dikembangkan oleh pengintai berbasis di Munich Gamma International GmbH. Produk FinFisher dipasarkan dan dijual secara eksklusif untuk penegakan hukum dan badan-badan intelijen oleh Gamma berbasis di Inggris Group. Meskipun disebut-sebut sebagai "alat sah pengintauan dan penyadapan" untuk penjahat, FinFisher juga telah memperoleh ketenaran karena telah digunakan dalam serangan yang ditargetkan terhadap aktivis hak asasi manusia dan aktivis oposisi di negara-negara yang hak asasi manusia-nya dipertanyakan .
Pada akhir Juli 2012, kami menerbitkan hasil penyelidikan operasi e-mail yang mencurigakan menargetkan aktivis di Bahrain. Kami menganalisis unduhan dan menemukan bahwa mereka mengandung spyware FinSpy, produk pemantauan jarak jauh FinFisher itu. FinSpy menangkap informasi dari komputer yang terinfeksi, seperti password dan panggilan Skype, dan mengirimkan informasi ke perintah & kontrol FinSpy (C2) server. Unduhan yang kami analisa datanya ternyata dikirim dan diperintah oleh server kontrol di Bahrain sendiri.
Penemuan ini mendorong para peneliti untuk mencari perintah & kontrol server lain untuk memahami bagaimana luas FinFisher dapat digunakan. Claudio Guarnieri di Rapid7 (salah satu penulis laporan ini) adalah yang pertama untuk mencari server ini. Dia mencoba melakukan tekhnik finger printing yang berbeda berdasarkan yang ditemukan di server Bahrain dan melihat data historis pemindaian internet untuk mengidentifikasi server lain di seluruh dunia yang menanggapi finger printing yang sama. Rapid7 menerbitkan daftar server, dan menggambarkan teknik finger printing mereka. Kelompok-kelompok lain, termasuk CrowdStrike dan SpiderLabs juga menganalisis dan membuat laporan tentang FinSpy.
Setelah publikasi, server rupanya melakukan update/pembaharuan untuk menghindari deteksi oleh Rapid7 finger printing. Kami menemukan teknik fingerprinting berbeda dan scan bagian dari internet. Kami mengkonfirmasi hasil Rapid7, dan juga menemukan beberapa server baru, termasuk satu di dalam Kementerian Komunikasi Turkmenistan. Kami menerbitkan daftar server pada akhir Agustus 2012, di samping analisis versi ponsel FinSpy. Server FinSpy rupanya diperbarui lagi pada bulan Oktober 2012 untuk mengelabui teknik fingerprinting baru, meskipun itu tidak pernah dijelaskan secara terbuka.
Namun demikian, melalui analisis contoh yang ada dan observasi kami kepada perintah & kontrol server ini, kami berhasil menghitung metode finger printing namun lebih dan melanjutkan survei kami dari internet untuk perangkat lunak ini pengintai. Kami menggambarkan hasil di posting ini.
Masyarakat umum telah menemukan penyebab kekhawatiran dalam temuan ini, karena mereka menunjukkan penggunaan produk FinFisher oleh negara-negara seperti Turkmenistan dan Bahrain dengan catatan bermasalah pada hak asasi manusia, transparansi, dan supremasi hukum. Pada Agustus 2012 menanggapi surat dari Inggris yang berbasis LSM Privacy International, Pemerintah Inggris mengungkapkan bahwa pada suatu waktu yang tidak diketahui di masa lalu, itu telah memeriksa versi FinSpy, dan dikomunikasikan kepada Gamma bahwa lisensi akan diperlukan untuk ekspor yang Versi luar Uni Eropa. Gamma telah berulang kali membantah link ke spyware dan server yang ditemukan oleh penelitian kami, mengklaim bahwa server terdeteksi oleh scan kita "bukan ... dari produk FinFisher." Gamma juga mengklaim bahwa spyware dikirim ke aktivis di Bahrain adalah versi "lama" demo dari FinSpy, yang dicuri selama presentasi produk.
Pada Februari 2013, Privacy International, Pusat Eropa untuk Hak Konstitusional dan Manusia (ECCHR), Bahrain Center for Human Rights, Bahrain Watch, dan Reporters Without Borders mengajukan keluhan dengan Organisasi untuk Kerjasama Ekonomi dan Pembangunan (OECD), meminta agar badan ini menyelidiki apakah Gamma melanggar OECD Guidelines for Multinational Enterprises dengan mengekspor FinSpy ke Bahrain. Keluhan disebut Gamma pernyataan sebelumnya dipertanyakan, mencatat bahwa setidaknya dua versi yang berbeda (4,00 dan 4,01) dari FinSpy ditemukan di Bahrain, dan bahwa server Bahrain merupakan produk FinFisher dan kemungkinan menerima pembaruan dari Gamma. Keluhan ini, sebagaimana ditentukan oleh Privacy International menyatakan bahwa Gamma:
- Gagal untuk menghormati hak asasi manusia yang diakui secara internasional dari mereka yang terkena dampak dari software ini
- Menyebabkan dan memberikan kontribusi yang menyebabkan dampak merugikan bagi hak asasi manusia dalam proses kegiatan dalam berbisnis
- Gagal untuk mencegah dan mengurangi dampak yang merugikan thd hak asasi manusia terkait dengan kegiatan dan produk ini, juga gagal untuk mengatasi dampak dari kejadian yang ada
- Gagal melakukan uji coba yang pasti (termasuk penelitian thd hak asasi manusia), dan
- Gagal untuk melaksanakan komitmen kebijakan untuk menghormati hak asasi manusia.
Menurut laporan terakhir, Kepolisian Federal Jerman tampaknya memiliki rencana untuk membeli dan menggunakan software FinFisher untuk dalam negeri dalam Germany. Sementara itu, temuan oleh kelompok kami dan lainnya terus menggambarkan proliferasi global produk FinFisher itu. Penelitian terus mengungkap kasus mengganggu dari FinSpy di negara-negara dengan track record yang sangat sering terjadi pelanggaran HAM, dan rezim politik represif. Baru-baru ini, kami bekerja dengan Bahrain Watch mengkonfirmasi adanya operasi FinFisher diBahrain, dan selanjutnya berlawanan dengan pernyataan dari Gamma. Posting ini menambah daftar dengan menyediakan daftar terbaru dari Command & Kontrol server FinSpy, dan menggambarkan contoh malware FinSpy di dunia cyber yang tampaknya telah digunakan untuk menargetkan korban di Ethiopia dan Vietnam.
Kami menyajikan temuan yang diperbaharui dengan harapan bahwa kami akan terus mendorong kelompok-kelompok masyarakat sipil dan badan investigasi yang berkompeten untuk melanjutkan pengawasan thd kegiatan Gamma, masalah kontrol ekspor yang relevan, dan isu proliferasi global dan pengaturan/pengawasan malware.
2. FinFisher: Update global scan
(Klik gambar untuk memperbesar)
Gambar 1. Peta FinFisher proliferasi global
Sekitar Oktober 2012, kami mengamati bahwa perilaku server FinSpy mulai berubah. Server berhenti menanggapi finger printing kami, yang telah dieksploitasi kekhasan dalam khas FinSpy protokol. Kami percaya bahwa ini menunjukkan bahwa Gamma secara mandiri mengubah protokol FinSpy, atau mampu menentukan elemen kunci finger printing kita, meskipun kita tidak pernah secara terbuka mengungkapkannya.
Dari pembaruan ini jelas perintah & kontrol server FinSpy, kami merancang sebuah finger printing baru dan melakukan scan internet untuk perintah & kontrol server FinSpy. Scan ini mengambil kira-kira dua bulan dan melibatkan pengiriman lebih dari 12 miliar paket. Pemindaian baru kami mengidentifikasi total 36 server FinSpy, 30 dari yang baru dan 6 yang kita telah ditemukan selama pemindaian sebelumnya. Server beroperasi di 19 negara yang berbeda. Di antara server FinSpy kami temukan, 7 berada di negara kita belum pernah melihat sebelumnya.
Australia, Bahrain, Bangladesh, Brunei, Kanada, Republik Ceko, Estonia, Ethiopia, Jerman, India, Indonesia, Jepang, Latvia, Malaysia, Meksiko, Mongolia, Belanda, Qatar, Serbia, Singapura, Turkmenistan, Uni Emirat Arab, Inggris, Amerika Serikat, Vietnam.
Yang penting, kami percaya bahwa daftar server walau tidak lengkap karena keragaman besar port yang digunakan oleh server FinSpy, serta upaya lain dari server untuk menyembunyikan identitasnya. Selain itu, penemuan perintah FinSpy dan server DNS di negara tertentu bukan merupakan indikator yang cukup untuk menyimpulkan penggunaan FinFisher oleh penegak hukum negara atau badan intelijen. Dalam beberapa kasus, server yang ditemukan berjalan pada fasilitas yang disediakan oleh penyedia hosting komersial yang bisa dibeli oleh para pelaku dari negara manapun.
Tabel di bawah ini menunjukkan server FinSpy terdeteksi pada scan terbaru kami. Kami daftar alamat IP penuh server yang sebelumnya telah diungkapkan kepada publik. Untuk server aktif yang belum secara terbuka mengungkapkan, kita daftar dua oktet pertama saja. Melepaskan alamat IP lengkap di masa lalu belum terbukti bermanfaat, sebagai server dengan cepat menutup dan direlokasi. *
IP - Operator Routed - Country
117.121.xxx.xxx - GPLHost Australia
77.69.181.162 - Batelco ADSL Layanan Bahrain
180.211.xxx.xxx - Dewan Telegraph & Telephone Bangladesh
168.144.xxx.xxx - Softcom, Inc Kanada
168.144.xxx.xxx - Softcom, Inc Kanada
217.16.xxx.xxx - PIPNI VPS Republik Ceko
217.146.xxx.xxx - Zona Media UVS / Nodes Estonia
213.55.99.74 - Ethio Telecom Ethiopia
80.156.xxx.xxx - Gamma International GmbH Jerman
37.200.xxx.xxx - JiffyBox Server Jerman
178.77.xxx.xxx - HostEurope GmbH Jerman
119.18.xxx.xxx - HostGator India
119.18.xxx.xxx - HostGator India
118.97.xxx.xxx - PT Telkom Indonesia
118.97.xxx.xxx - PT Telkom Indonesia
103.28.xxx.xxx - PT Matrixnet Global Indonesia
112.78.143.34 - Biznet ISP Indonesia
112.78.143.26 - Biznet ISP Indonesia
117.121.xxx.xxx - GPLHost Malaysia
187.188.xxx.xxx - Iusacell PCS Meksiko
201.122.xxx.xxx - UNINET Mexico
164.138.xxx.xxx - Tilaa Belanda
164.138.28.2 - Tilaa Belanda
78.100.57.165 -Qtel - Pemerintah Hubungan Qatar
195.178.xxx.xxx - Tri.d.o.o / Telekom Srbija Serbia
117.121.xxx.xxx - GPLHost Singapura
217.174.229.82 - Kementerian Komunikasi Turkmenistan
72.22.xxx.xxx - iPower, Inc Amerika Serikat
166.143.xxx.xxx - Verizon Wireless Amerika Serikat
117.121.xxx.xxx - GPLHost Amerika Serikat
117.121.xxx.xxx - GPLHost Amerika Serikat
117.121.xxx.xxx - GPLHost Amerika Serikat
117.121.xxx.xxx - GPLHost Amerika Serikat
183.91.xxx.xxx - CMC Telecom Infrastruktur Perusahaan Vietnam
Beberapa dari temuan yang kami dapatkan saat ini bisa disimpulkan yang paling penting adalah:
- Delapan server host oleh penyedia GPLHost di berbagai negara (Singapura, Malaysia, Australia, AS). Namun, kami mengamati hanya enam dari server ini aktif pada waktu tertentu, menunjukkan bahwa beberapa alamat IP mungkin telah berubah selama scan kami.
- Sebuah server diidentifikasi di Jerman memiliki pendaftar "Gamma International GmbH," dan orang kontak terdaftar sebagai "Martin Muench."
- Ada server FinSpy dalam rentang IP terdaftar untuk "Verizon Wireless." Verizon Wireless menjual range alamat IP untuk pelanggan cooporate, jadi ini belum tentu merupakan indikasi bahwa Verizon Wireless sendiri mempunyai server software ini, atau pelanggan Verizon Wireless sedang memata-matai.
- Sebuah server di Qatar yang sebelumnya terdeteksi oleh Rapid7 tampaknya kembali online setelah tidak responsif selama putaran terakhir pemindaian kami. Server terletak di range 16 alamat IP terdaftar untuk "Qtel - rekening Perusahaan -. Hubungan Pemerintah" The blok yang sama dari 16 alamat juga berisi http://qhotels.gov.qa/ situs.
3. Ethiopia: Mendalami dan Diskusi Contoh Baru
3.1 FinSpy di Ethiopia
Kami menganalisis contoh malware baru saja diakuisisi dan diidentifikasi sebagai FinSpy. Malware ini menggunakan gambar anggota kelompok oposisi Ethiopia, Ginbot 7, sebagai umpan. Malware tersebut akan berkomunikasi dengan Command & Kontrol Server FinSpy di Ethiopia, yang pertama kali diidentifikasi oleh Rapid7 pada bulan Agustus 2012. Server telah terdeteksi dalam setiap putaran pemindaian, dan tetap beroperasi pada saat tulisan ini dibuat. Hal ini dapat ditemukan dalam blok alamat berikut dijalankan oleh Ethio Telecom, penyedia telekomunikasi milik negara Ethiopia:
Server tampaknya diupdate dengan cara konsisten dengan server lain, termasuk server di Bahrain dan Turkmenistan.
Contoh md5/sha diatas mirip dengan contoh dianalisis sebelumnya malware FinSpy dikirim ke aktivis di Bahrain pada tahun 2012. Sama seperti contoh diBahrain, malware berpindah sendiri dan membuat gambar JPG dengan nama file yang sama, ini terjadi bila secara tidak sengaja di eksekusi oleh user nya. Hal ini tampaknya menjadi suatu usaha untuk menipu korban menjadi percaya file dibuka tidak berbahaya. Berikut adalah kesamaan utama antara contoh:
- PE timestamp "2011-07-05 08:25:31" dari packer adalah persis sama dengan contoh Bahrain.
- Berikut string (ditemukan dalam proses terinfeksi dengan malware), self-mengidentifikasi malware dan mirip dengan string ditemukan dalam
contoh Bahrain:
Ginbot 7 ditetapkan sebagai kelompok teroris oleh Pemerintah Ethiopia pada tahun 2011. Komite untuk Melindungi Wartawan (CPJ) dan Human Rights Watch, keduanya mengkritik tindakan ini, CPJ telah menunjukkan bahwa ini memiliki efek negatif pada laporan politik yang sah tentang kelompok dan kepemimpinannya.
Keberadaan contoh FinSpy yang bergerak di Ethiopia, dan yang berkomunikasi dengan perintah & DNS server, masih aktif di Ethiopia. Ini menunjukkan bahwa Pemerintah Ethiopia menggunakan FinSpy.
4. Rangkuman singkat temuan
Perusahaan yang menjual pengawasan dan gangguan perangkat lunak biasanya mengklaim bahwa alat mereka hanya digunakan untuk melacak penjahat dan teroris. FinFisher, VUPEN dan Hacking Team semuanya menggunakan bahasa pemograman yang sama. Namun semakin banyak bukti menunjukkan bahwa alat ini secara teratur diperoleh oleh negara-negara di mempunyai aktivitas politik yang bergejolak dan perselisihan / kriminalisasinya tinggi. Temuan kami menyoroti meningkatnya kesumbangan antara klaim publik Gamma yang FinSpy digunakan secara eksklusif untuk melacak "orang jahat" dan bukti-bukti menunjukkan bahwa alat ini telah dan terus digunakan terhadap kelompok oposisi dan aktivis hak asasi manusia.
Sementara pekerjaan kami menyoroti konsekuensi hak asasi manusia dalam penyalah gunaan teknologi ini, jelas bahwa ada keprihatinan yang lebih luas. Sebuah pasar global dan tidak diatur alat bantu digital ofensif berpotensi menimbulkan risiko baru untuk nasional maupun perusahaan keamanan cyber. Pada 12 Maret, Direktur Intelijen Nasional AS James Clapper menyatakan dalam laporan kongres tahunan pada ancaman keamanan:
"... Perusahaan mengembangkan dan menjual teknologi berkualitas profesional untuk mendukung cyberoperations-penggunaan alat ini sebagai produk riset keamanan yang sah-intercept atau defensif. Pemerintah asing sudah menggunakan beberapa alat ini untuk menargetkan sistem di Amerika. "
Produk seperti FinFisher membuat kasus yang kuat untuk didebatkan, kebijakan tentang perangkat lunak pengawasan dan kemampuan komersialisasi ofensif di dunia cyber.
Temuan terbaru kami memberikan tampilan diperbarui pada proliferasi global FinSpy. Kami mengidentifikasi 36 FinSpy perintah & kontrol server aktif, termasuk 30 server yang sebelumnya-tidak diketahui. Kami memliki daftar server yang belum mempunyai tidak lengkap, karena beberapa server FinSpy menggunakan tindakan untuk mencegah deteksi/cepat update. Termasuk server yang ditemukan tahun lalu, kita sekarang menghitung server FinSpy di 25 negara, termasuk di negara-negara dengan catatan pelanggaran hak asasi manusia yang tinggi. Ini merupakan indikasi dari tren global menuju akuisisi ofensif cyber dengan rezim non-demokratis dari perusahaan komersial Barat.
Ethiopia contoh FinSpy yang kami identifikasi, telah mendapatkan surat perintah penyelidikan lebih lanjut, terutama mengingat negara ini mempunyai catatan hak asasi manusia yang buruk dari negara-negara lain. Fakta bahwa versi Ethiopia FinSpy menggunakan gambar dari anggota oposisi sebagai umpan menunjukkan hal itu dapat digunakan untuk kegiatan pengintai dipengaruhi politik, daripada tujuan penegakan hukum.
Internet Ethiopia contoh adalah contoh FinSpy kedua kami yang telah kami buat berkomunikasi dengan server kami untuk mengidentifikasi perintah & server kontrol FinSpy sendiri. Hal ini semakin meyankinan hasil pemindaian kami, dan menimbulkan klaim pertanyaan Gamma bahwa server tersebut "tidak ... ini bukan produk FinFisher." 10 Kemiripan antara contoh Ethiopia dengan yang digunakan untuk menargetkan aktivis Bahrain. Alasan yang sama di katakan Gamma Internationa bahwa contoh dari Bahrain adalah hasil demonstrasi curian.
Sementara penjualan perangkat lunak spy seperti ini sebagian besar tidak diatur, masalah ini telah menarik masyarakat untuk melakukan pengawasan tingkat tinggi. Pada September tahun lalu, menteri luar negeri Jerman, Guido Westerwelle, menyerukan larangan Uni Eropa-lebar pada ekspor software pengintai tersebut untuk daerah otorita. Dalam sebuah wawancara Desember 2012, Marietje Schaake (MEP), saat laporan pertama strategi Uni Eropa pada kebebasan digital dalam kebijakan luar negeri, menyatakan bahwa itu adalah "cukup mengejutkan" perusahaan Eropa terus mengekspor teknologi represif ke negara-negara di mana aturan hukum nya masih dipertanyakan.
Kami mendesak kelompok-kelompok masyarakat sipil dan jurnalis untuk menindaklanjuti temuan kami di negara-negara yang terkena dampak. Kami juga berharap bahwa temuan kami akan memberikan informasi berharga untuk teknologi yang sedang berlangsung dan perdebatan kebijakan tentang perangkat lunak pengawasan dan komersialisasi perangkat luna ini juga melakukan limitasi thd kemampuannya.
Disadur dan diterjemahkan dari https://citizenlab.o...roliferation-2/
Nah ini komentar dari mbah scut: Telkom Indonesia, BizNet dan Matrixnet Global diindikasi menggunakan FinFisher. What do you think? and who put FinFisher system on their gateway? Saya baca di Kompas bahwa Telkom dan BizNet membantah menggunakan FinFisher, tapi menurutku itu bukan statement yang membuktikan bahwa kedua ISP itu bersih, melainkan hanya menggunakan hak jawabnya saja di media
Berikut 2 model FinFisher yang dipakai oleh ISP Indonesia menurut mbah scut:
Referensi bacaan info dan tanggapan Telkom:
http://tekno.kompas.com/read/2013/03/18/11003026/Telkom.dan.Biznet.Diduga.Mata-matai.Pengguna
http://tekno.kompas.com/read/2013/03/19/12485147/soal.intai.pengguna.internet.ini.tanggapan.bos.telkom
http://tekno.kompas.com/read/2013/03/18/13373618/Telkom.dan.Biznet.Bantah.Intai.Pengguna.Internet
Ringkasan Temuan
- Kami telah menemukan komando dan kontrol server untuk backdoors FinSpy, bagian dari FinFisher "solusi pemantauan jarak jauh," Gamma International di total 25 negara: Australia, Bahrain, Bangladesh, Brunei, Kanada, Republik Ceko, Estonia, Ethiopia, Jerman, India, Indonesia, Jepang, Latvia, Malaysia, Meksiko, Mongolia, Belanda, Qatar, Serbia, Singapura, Turkmenistan, Uni Emirat Arab, Inggris, Amerika Serikat, Vietnam.
- Sebuah operasi FinSpy di Ethiopia menggunakan gambar Ginbot 7, kelompok oposisi Ethiopia, sebagai umpan untuk menginfeksi pengguna. Ini melanjutkan tema penyebaran FinSpy dengan indikasi kuat penargetan bermotif politik.
- Ada bukti kuat dari Vietnam FinSpy Handphone Campaign. Kami menemukan Android FinSpy Handphone contoh di dunia cyber dengan perintah & server kontrol di Vietnam yang juga exfiltrates pesan teks ke nomor telepon lokal.
- Temuan ini dipertanyakan oleh Gamma International yang sebelumnya dilaporkan server yang bukan bagian dari produk mereka, dan bahwa ditemukan sebelumnya salinan perangkat lunak mereka entah dicuri atau demo eksemplar dan digunakan oleh pihak ayng tidak bertanggung jawab
1. Latar Belakang dan Pengantar
FinFisher adalah sebuah software untuk membobol dan mengintai jarak jauh dan perangkat lunak ini dikembangkan oleh pengintai berbasis di Munich Gamma International GmbH. Produk FinFisher dipasarkan dan dijual secara eksklusif untuk penegakan hukum dan badan-badan intelijen oleh Gamma berbasis di Inggris Group. Meskipun disebut-sebut sebagai "alat sah pengintauan dan penyadapan" untuk penjahat, FinFisher juga telah memperoleh ketenaran karena telah digunakan dalam serangan yang ditargetkan terhadap aktivis hak asasi manusia dan aktivis oposisi di negara-negara yang hak asasi manusia-nya dipertanyakan .
Pada akhir Juli 2012, kami menerbitkan hasil penyelidikan operasi e-mail yang mencurigakan menargetkan aktivis di Bahrain. Kami menganalisis unduhan dan menemukan bahwa mereka mengandung spyware FinSpy, produk pemantauan jarak jauh FinFisher itu. FinSpy menangkap informasi dari komputer yang terinfeksi, seperti password dan panggilan Skype, dan mengirimkan informasi ke perintah & kontrol FinSpy (C2) server. Unduhan yang kami analisa datanya ternyata dikirim dan diperintah oleh server kontrol di Bahrain sendiri.
Penemuan ini mendorong para peneliti untuk mencari perintah & kontrol server lain untuk memahami bagaimana luas FinFisher dapat digunakan. Claudio Guarnieri di Rapid7 (salah satu penulis laporan ini) adalah yang pertama untuk mencari server ini. Dia mencoba melakukan tekhnik finger printing yang berbeda berdasarkan yang ditemukan di server Bahrain dan melihat data historis pemindaian internet untuk mengidentifikasi server lain di seluruh dunia yang menanggapi finger printing yang sama. Rapid7 menerbitkan daftar server, dan menggambarkan teknik finger printing mereka. Kelompok-kelompok lain, termasuk CrowdStrike dan SpiderLabs juga menganalisis dan membuat laporan tentang FinSpy.
Setelah publikasi, server rupanya melakukan update/pembaharuan untuk menghindari deteksi oleh Rapid7 finger printing. Kami menemukan teknik fingerprinting berbeda dan scan bagian dari internet. Kami mengkonfirmasi hasil Rapid7, dan juga menemukan beberapa server baru, termasuk satu di dalam Kementerian Komunikasi Turkmenistan. Kami menerbitkan daftar server pada akhir Agustus 2012, di samping analisis versi ponsel FinSpy. Server FinSpy rupanya diperbarui lagi pada bulan Oktober 2012 untuk mengelabui teknik fingerprinting baru, meskipun itu tidak pernah dijelaskan secara terbuka.
Namun demikian, melalui analisis contoh yang ada dan observasi kami kepada perintah & kontrol server ini, kami berhasil menghitung metode finger printing namun lebih dan melanjutkan survei kami dari internet untuk perangkat lunak ini pengintai. Kami menggambarkan hasil di posting ini.
Masyarakat umum telah menemukan penyebab kekhawatiran dalam temuan ini, karena mereka menunjukkan penggunaan produk FinFisher oleh negara-negara seperti Turkmenistan dan Bahrain dengan catatan bermasalah pada hak asasi manusia, transparansi, dan supremasi hukum. Pada Agustus 2012 menanggapi surat dari Inggris yang berbasis LSM Privacy International, Pemerintah Inggris mengungkapkan bahwa pada suatu waktu yang tidak diketahui di masa lalu, itu telah memeriksa versi FinSpy, dan dikomunikasikan kepada Gamma bahwa lisensi akan diperlukan untuk ekspor yang Versi luar Uni Eropa. Gamma telah berulang kali membantah link ke spyware dan server yang ditemukan oleh penelitian kami, mengklaim bahwa server terdeteksi oleh scan kita "bukan ... dari produk FinFisher." Gamma juga mengklaim bahwa spyware dikirim ke aktivis di Bahrain adalah versi "lama" demo dari FinSpy, yang dicuri selama presentasi produk.
Pada Februari 2013, Privacy International, Pusat Eropa untuk Hak Konstitusional dan Manusia (ECCHR), Bahrain Center for Human Rights, Bahrain Watch, dan Reporters Without Borders mengajukan keluhan dengan Organisasi untuk Kerjasama Ekonomi dan Pembangunan (OECD), meminta agar badan ini menyelidiki apakah Gamma melanggar OECD Guidelines for Multinational Enterprises dengan mengekspor FinSpy ke Bahrain. Keluhan disebut Gamma pernyataan sebelumnya dipertanyakan, mencatat bahwa setidaknya dua versi yang berbeda (4,00 dan 4,01) dari FinSpy ditemukan di Bahrain, dan bahwa server Bahrain merupakan produk FinFisher dan kemungkinan menerima pembaruan dari Gamma. Keluhan ini, sebagaimana ditentukan oleh Privacy International menyatakan bahwa Gamma:
- Gagal untuk menghormati hak asasi manusia yang diakui secara internasional dari mereka yang terkena dampak dari software ini
- Menyebabkan dan memberikan kontribusi yang menyebabkan dampak merugikan bagi hak asasi manusia dalam proses kegiatan dalam berbisnis
- Gagal untuk mencegah dan mengurangi dampak yang merugikan thd hak asasi manusia terkait dengan kegiatan dan produk ini, juga gagal untuk mengatasi dampak dari kejadian yang ada
- Gagal melakukan uji coba yang pasti (termasuk penelitian thd hak asasi manusia), dan
- Gagal untuk melaksanakan komitmen kebijakan untuk menghormati hak asasi manusia.
Menurut laporan terakhir, Kepolisian Federal Jerman tampaknya memiliki rencana untuk membeli dan menggunakan software FinFisher untuk dalam negeri dalam Germany. Sementara itu, temuan oleh kelompok kami dan lainnya terus menggambarkan proliferasi global produk FinFisher itu. Penelitian terus mengungkap kasus mengganggu dari FinSpy di negara-negara dengan track record yang sangat sering terjadi pelanggaran HAM, dan rezim politik represif. Baru-baru ini, kami bekerja dengan Bahrain Watch mengkonfirmasi adanya operasi FinFisher diBahrain, dan selanjutnya berlawanan dengan pernyataan dari Gamma. Posting ini menambah daftar dengan menyediakan daftar terbaru dari Command & Kontrol server FinSpy, dan menggambarkan contoh malware FinSpy di dunia cyber yang tampaknya telah digunakan untuk menargetkan korban di Ethiopia dan Vietnam.
Kami menyajikan temuan yang diperbaharui dengan harapan bahwa kami akan terus mendorong kelompok-kelompok masyarakat sipil dan badan investigasi yang berkompeten untuk melanjutkan pengawasan thd kegiatan Gamma, masalah kontrol ekspor yang relevan, dan isu proliferasi global dan pengaturan/pengawasan malware.
2. FinFisher: Update global scan
(Klik gambar untuk memperbesar)
Gambar 1. Peta FinFisher proliferasi global
Sekitar Oktober 2012, kami mengamati bahwa perilaku server FinSpy mulai berubah. Server berhenti menanggapi finger printing kami, yang telah dieksploitasi kekhasan dalam khas FinSpy protokol. Kami percaya bahwa ini menunjukkan bahwa Gamma secara mandiri mengubah protokol FinSpy, atau mampu menentukan elemen kunci finger printing kita, meskipun kita tidak pernah secara terbuka mengungkapkannya.
Dari pembaruan ini jelas perintah & kontrol server FinSpy, kami merancang sebuah finger printing baru dan melakukan scan internet untuk perintah & kontrol server FinSpy. Scan ini mengambil kira-kira dua bulan dan melibatkan pengiriman lebih dari 12 miliar paket. Pemindaian baru kami mengidentifikasi total 36 server FinSpy, 30 dari yang baru dan 6 yang kita telah ditemukan selama pemindaian sebelumnya. Server beroperasi di 19 negara yang berbeda. Di antara server FinSpy kami temukan, 7 berada di negara kita belum pernah melihat sebelumnya.
Dalam pemindaian terakhir kami, 16 server yang kami sebelumnya telah hilang dari peredaran. Kami menduga bahwa setelah scan kami sebelumnya diterbitkan, para operator memindahkan mereka. Banyak server ini ditutup atau dipindahkan setelah publikasi hasil sebelumnya, tapi sebelum update Oktober 2012 lalu. Kita tidak lagi menemukan server FinSpy di 4 negara di mana pemindaian sebelumnya mengidentifikasi mereka (Brunei, UEA, Latvia, dan Mongolia). Secara keseluruhan, server FinSpy sedang, atau telah hadir, di 25 negara.
Australia, Bahrain, Bangladesh, Brunei, Kanada, Republik Ceko, Estonia, Ethiopia, Jerman, India, Indonesia, Jepang, Latvia, Malaysia, Meksiko, Mongolia, Belanda, Qatar, Serbia, Singapura, Turkmenistan, Uni Emirat Arab, Inggris, Amerika Serikat, Vietnam.
Yang penting, kami percaya bahwa daftar server walau tidak lengkap karena keragaman besar port yang digunakan oleh server FinSpy, serta upaya lain dari server untuk menyembunyikan identitasnya. Selain itu, penemuan perintah FinSpy dan server DNS di negara tertentu bukan merupakan indikator yang cukup untuk menyimpulkan penggunaan FinFisher oleh penegak hukum negara atau badan intelijen. Dalam beberapa kasus, server yang ditemukan berjalan pada fasilitas yang disediakan oleh penyedia hosting komersial yang bisa dibeli oleh para pelaku dari negara manapun.
Tabel di bawah ini menunjukkan server FinSpy terdeteksi pada scan terbaru kami. Kami daftar alamat IP penuh server yang sebelumnya telah diungkapkan kepada publik. Untuk server aktif yang belum secara terbuka mengungkapkan, kita daftar dua oktet pertama saja. Melepaskan alamat IP lengkap di masa lalu belum terbukti bermanfaat, sebagai server dengan cepat menutup dan direlokasi. *
IP - Operator Routed - Country
117.121.xxx.xxx - GPLHost Australia
77.69.181.162 - Batelco ADSL Layanan Bahrain
180.211.xxx.xxx - Dewan Telegraph & Telephone Bangladesh
168.144.xxx.xxx - Softcom, Inc Kanada
168.144.xxx.xxx - Softcom, Inc Kanada
217.16.xxx.xxx - PIPNI VPS Republik Ceko
217.146.xxx.xxx - Zona Media UVS / Nodes Estonia
213.55.99.74 - Ethio Telecom Ethiopia
80.156.xxx.xxx - Gamma International GmbH Jerman
37.200.xxx.xxx - JiffyBox Server Jerman
178.77.xxx.xxx - HostEurope GmbH Jerman
119.18.xxx.xxx - HostGator India
119.18.xxx.xxx - HostGator India
118.97.xxx.xxx - PT Telkom Indonesia
118.97.xxx.xxx - PT Telkom Indonesia
103.28.xxx.xxx - PT Matrixnet Global Indonesia
112.78.143.34 - Biznet ISP Indonesia
112.78.143.26 - Biznet ISP Indonesia
117.121.xxx.xxx - GPLHost Malaysia
187.188.xxx.xxx - Iusacell PCS Meksiko
201.122.xxx.xxx - UNINET Mexico
164.138.xxx.xxx - Tilaa Belanda
164.138.28.2 - Tilaa Belanda
78.100.57.165 -Qtel - Pemerintah Hubungan Qatar
195.178.xxx.xxx - Tri.d.o.o / Telekom Srbija Serbia
117.121.xxx.xxx - GPLHost Singapura
217.174.229.82 - Kementerian Komunikasi Turkmenistan
72.22.xxx.xxx - iPower, Inc Amerika Serikat
166.143.xxx.xxx - Verizon Wireless Amerika Serikat
117.121.xxx.xxx - GPLHost Amerika Serikat
117.121.xxx.xxx - GPLHost Amerika Serikat
117.121.xxx.xxx - GPLHost Amerika Serikat
117.121.xxx.xxx - GPLHost Amerika Serikat
183.91.xxx.xxx - CMC Telecom Infrastruktur Perusahaan Vietnam
Beberapa dari temuan yang kami dapatkan saat ini bisa disimpulkan yang paling penting adalah:
- Delapan server host oleh penyedia GPLHost di berbagai negara (Singapura, Malaysia, Australia, AS). Namun, kami mengamati hanya enam dari server ini aktif pada waktu tertentu, menunjukkan bahwa beberapa alamat IP mungkin telah berubah selama scan kami.
- Sebuah server diidentifikasi di Jerman memiliki pendaftar "Gamma International GmbH," dan orang kontak terdaftar sebagai "Martin Muench."
- Ada server FinSpy dalam rentang IP terdaftar untuk "Verizon Wireless." Verizon Wireless menjual range alamat IP untuk pelanggan cooporate, jadi ini belum tentu merupakan indikasi bahwa Verizon Wireless sendiri mempunyai server software ini, atau pelanggan Verizon Wireless sedang memata-matai.
- Sebuah server di Qatar yang sebelumnya terdeteksi oleh Rapid7 tampaknya kembali online setelah tidak responsif selama putaran terakhir pemindaian kami. Server terletak di range 16 alamat IP terdaftar untuk "Qtel - rekening Perusahaan -. Hubungan Pemerintah" The blok yang sama dari 16 alamat juga berisi http://qhotels.gov.qa/ situs.
3. Ethiopia: Mendalami dan Diskusi Contoh Baru
3.1 FinSpy di Ethiopia
Kami menganalisis contoh malware baru saja diakuisisi dan diidentifikasi sebagai FinSpy. Malware ini menggunakan gambar anggota kelompok oposisi Ethiopia, Ginbot 7, sebagai umpan. Malware tersebut akan berkomunikasi dengan Command & Kontrol Server FinSpy di Ethiopia, yang pertama kali diidentifikasi oleh Rapid7 pada bulan Agustus 2012. Server telah terdeteksi dalam setiap putaran pemindaian, dan tetap beroperasi pada saat tulisan ini dibuat. Hal ini dapat ditemukan dalam blok alamat berikut dijalankan oleh Ethio Telecom, penyedia telekomunikasi milik negara Ethiopia:
Code:
IP: 213.55.99.74
route: 213.55.99.0/24
descr: Ethio Telecom
origin: AS24757
mnt-by: ETC-MNT
member-of: rs-ethiotelecom
source: RIPE # Filtered
Code:
MD5 8ae2febe04102450fdbc26a38037c82b
SHA-1 1fd0a268086f8d13c6a3262d41cce13470886b09
SHA-256 ff6f0bcdb02a9a1c10da14a0844ed6ec6a68c13c04b4c122afc559d606762fa- PE timestamp "2011-07-05 08:25:31" dari packer adalah persis sama dengan contoh Bahrain.
- Berikut string (ditemukan dalam proses terinfeksi dengan malware), self-mengidentifikasi malware dan mirip dengan string ditemukan dalam
contoh Bahrain:
Ginbot 7 ditetapkan sebagai kelompok teroris oleh Pemerintah Ethiopia pada tahun 2011. Komite untuk Melindungi Wartawan (CPJ) dan Human Rights Watch, keduanya mengkritik tindakan ini, CPJ telah menunjukkan bahwa ini memiliki efek negatif pada laporan politik yang sah tentang kelompok dan kepemimpinannya.
Keberadaan contoh FinSpy yang bergerak di Ethiopia, dan yang berkomunikasi dengan perintah & DNS server, masih aktif di Ethiopia. Ini menunjukkan bahwa Pemerintah Ethiopia menggunakan FinSpy.
4. Rangkuman singkat temuan
Perusahaan yang menjual pengawasan dan gangguan perangkat lunak biasanya mengklaim bahwa alat mereka hanya digunakan untuk melacak penjahat dan teroris. FinFisher, VUPEN dan Hacking Team semuanya menggunakan bahasa pemograman yang sama. Namun semakin banyak bukti menunjukkan bahwa alat ini secara teratur diperoleh oleh negara-negara di mempunyai aktivitas politik yang bergejolak dan perselisihan / kriminalisasinya tinggi. Temuan kami menyoroti meningkatnya kesumbangan antara klaim publik Gamma yang FinSpy digunakan secara eksklusif untuk melacak "orang jahat" dan bukti-bukti menunjukkan bahwa alat ini telah dan terus digunakan terhadap kelompok oposisi dan aktivis hak asasi manusia.
Sementara pekerjaan kami menyoroti konsekuensi hak asasi manusia dalam penyalah gunaan teknologi ini, jelas bahwa ada keprihatinan yang lebih luas. Sebuah pasar global dan tidak diatur alat bantu digital ofensif berpotensi menimbulkan risiko baru untuk nasional maupun perusahaan keamanan cyber. Pada 12 Maret, Direktur Intelijen Nasional AS James Clapper menyatakan dalam laporan kongres tahunan pada ancaman keamanan:
"... Perusahaan mengembangkan dan menjual teknologi berkualitas profesional untuk mendukung cyberoperations-penggunaan alat ini sebagai produk riset keamanan yang sah-intercept atau defensif. Pemerintah asing sudah menggunakan beberapa alat ini untuk menargetkan sistem di Amerika. "
Produk seperti FinFisher membuat kasus yang kuat untuk didebatkan, kebijakan tentang perangkat lunak pengawasan dan kemampuan komersialisasi ofensif di dunia cyber.
Temuan terbaru kami memberikan tampilan diperbarui pada proliferasi global FinSpy. Kami mengidentifikasi 36 FinSpy perintah & kontrol server aktif, termasuk 30 server yang sebelumnya-tidak diketahui. Kami memliki daftar server yang belum mempunyai tidak lengkap, karena beberapa server FinSpy menggunakan tindakan untuk mencegah deteksi/cepat update. Termasuk server yang ditemukan tahun lalu, kita sekarang menghitung server FinSpy di 25 negara, termasuk di negara-negara dengan catatan pelanggaran hak asasi manusia yang tinggi. Ini merupakan indikasi dari tren global menuju akuisisi ofensif cyber dengan rezim non-demokratis dari perusahaan komersial Barat.
Ethiopia contoh FinSpy yang kami identifikasi, telah mendapatkan surat perintah penyelidikan lebih lanjut, terutama mengingat negara ini mempunyai catatan hak asasi manusia yang buruk dari negara-negara lain. Fakta bahwa versi Ethiopia FinSpy menggunakan gambar dari anggota oposisi sebagai umpan menunjukkan hal itu dapat digunakan untuk kegiatan pengintai dipengaruhi politik, daripada tujuan penegakan hukum.
Internet Ethiopia contoh adalah contoh FinSpy kedua kami yang telah kami buat berkomunikasi dengan server kami untuk mengidentifikasi perintah & server kontrol FinSpy sendiri. Hal ini semakin meyankinan hasil pemindaian kami, dan menimbulkan klaim pertanyaan Gamma bahwa server tersebut "tidak ... ini bukan produk FinFisher." 10 Kemiripan antara contoh Ethiopia dengan yang digunakan untuk menargetkan aktivis Bahrain. Alasan yang sama di katakan Gamma Internationa bahwa contoh dari Bahrain adalah hasil demonstrasi curian.
Sementara penjualan perangkat lunak spy seperti ini sebagian besar tidak diatur, masalah ini telah menarik masyarakat untuk melakukan pengawasan tingkat tinggi. Pada September tahun lalu, menteri luar negeri Jerman, Guido Westerwelle, menyerukan larangan Uni Eropa-lebar pada ekspor software pengintai tersebut untuk daerah otorita. Dalam sebuah wawancara Desember 2012, Marietje Schaake (MEP), saat laporan pertama strategi Uni Eropa pada kebebasan digital dalam kebijakan luar negeri, menyatakan bahwa itu adalah "cukup mengejutkan" perusahaan Eropa terus mengekspor teknologi represif ke negara-negara di mana aturan hukum nya masih dipertanyakan.
Kami mendesak kelompok-kelompok masyarakat sipil dan jurnalis untuk menindaklanjuti temuan kami di negara-negara yang terkena dampak. Kami juga berharap bahwa temuan kami akan memberikan informasi berharga untuk teknologi yang sedang berlangsung dan perdebatan kebijakan tentang perangkat lunak pengawasan dan komersialisasi perangkat luna ini juga melakukan limitasi thd kemampuannya.
Disadur dan diterjemahkan dari https://citizenlab.o...roliferation-2/
Nah ini komentar dari mbah scut: Telkom Indonesia, BizNet dan Matrixnet Global diindikasi menggunakan FinFisher. What do you think? and who put FinFisher system on their gateway? Saya baca di Kompas bahwa Telkom dan BizNet membantah menggunakan FinFisher, tapi menurutku itu bukan statement yang membuktikan bahwa kedua ISP itu bersih, melainkan hanya menggunakan hak jawabnya saja di media
Berikut 2 model FinFisher yang dipakai oleh ISP Indonesia menurut mbah scut:
Referensi bacaan info dan tanggapan Telkom:
http://tekno.kompas.com/read/2013/03/18/11003026/Telkom.dan.Biznet.Diduga.Mata-matai.Pengguna
http://tekno.kompas.com/read/2013/03/19/12485147/soal.intai.pengguna.internet.ini.tanggapan.bos.telkom
http://tekno.kompas.com/read/2013/03/18/13373618/Telkom.dan.Biznet.Bantah.Intai.Pengguna.Internet
