Новая операция кибершпионажа FinFisher: атаки MitM на уровне провайдера?

[ZoomLS]

А как спастись от подобного рода атак? Сверять хеш-суммы скачанных файлов?

[mayorovp]

Да, причем лучше для получения правильных хеш-сумм пользоваться альтернативными каналами.

Еще варианты:

— проверять цифровую подпись скачанных файлов;
— качать файлы по HTTPS.

[GAZ69]

При скачивании НОДа провайдер тоже может что-нить подсунуть…

[Nomad_gdv]

Когда пользователь (объект слежки) собирается скачать одно из популярных легитимных приложений, его перенаправляют на версию программы, зараженную FinFisher. Мы видели троянизированные версии WhatsApp, Skype, Avast, WinRAR, VLC Player и некоторых других программ.

Ваш антивирус также подвержен данной проблеме? При анализе вашим антивирусом скаченного дистрибутива сверяется хеш-сумма с сайта производителя софта?

[esetnod32]

ESET детектирует эти версии FinFisher, то есть скачать троянизированный дистрибутив в данном случае не получится – заблокирует.

В целом, продукты проверяют локальный кэш файла или URL на предмет связи с известными угрозами, сверяют данные с черными и белыми списками по своей базе, далее запрашивают информацию о репутации объекта из облачной системы ESET LiveGrid и блокируют как известные угрозы, так и подозрительные файлы.

[firk]

Описанный в статье способ эксплуатации mitm (вставка http редиректов) у компетентного человека мгновено вызовет подозрение на этапе скачивания — браузеры показывают с какого домена ведётся скачивание.
Возможно есть и другой вектор атаки, который вы не обнаружили по причине его грамотности.