FinFisher grubu tarafından geliştirilen FinSpy casus yazılımı şimdi UEFI bootkit zararlılarının özelliklerine de sahip.
Dünya siber güvenlik gündemi son birkaç aydır NSO Group tarafından geliştirilen Pegasus’un skandallarıyla çalkalanırken bir başka casus yazılım şirketi FinFisher, zararlı yazılım ürünlerini geliştirmeye devam ediyor.
İlk olarak 2011 yılında piyasada görülen FinFisher, Almanya merkezli Gamma International’ın bünyesinde bulunan bir casus yazılım şirketi. Genellikle geliştirmiş olduğu zararlı yazılımları devletlere, yargı kuruluşlarına ve devletlerin istihbarat servislerine sağlıyor. İsrail merkezli NSO Group tarafından geliştirilen Pegasus’ta olduğu gibi FinFisher’in geliştirdiği FinSpy zararlısı da Bahreynli aktivistleri izlemek ve hedefli saldırılar yapmak amacıyla kullanılmıştı.
FinFisher’ın FinSpy’a eklemiş olduğu son özellik ise UEFI Bootkit yapısı. Bu sayede artık FinSpy’ı hedefine karşı kullanan her kimse, zararlı yazılım hedef tarafından çalıştırıldıktan sonra hedefin bilgisayarındaki Windows UEFI bootloader kısmı kötü amaçlı bir şekilde değiştiriliyor ve FinSpy bu şekilde sistemde kalıcı ve kolayca tespit edilemez bir şekilde saklanabiliyor.
Kaspersky araştırmacıları 8 aylık bir derin inceleme sonucu bu yetideki zararlıların çok az olduğunu ve saldırganların FinSpy’ı güvenlik yazılımlarını atlama çabasına girmeden hedeflerinde kalıcılık sağlamalarına yaradığını söyledi.
UEFI normalde bildiğiniz gibi bir firmware arabirimi. İşletim sistemi de buradan önyükleniyor. Bootkit özelliği sayesinde FinSpy EFI bölümünü taramayan güvenlik yazılımlarından kaçınabiliyor, sistemde kendisini daha yüksek haklarla çalıştırabiliyor. Firmware’nin kendisine değil, bootloader gibi ayrı bir modül ile çalışıyor.
