編者按:美國司法部釋出了對網絡犯罪組織fin7的起訴書,概述了該組織如何通過三名被捕的内部人士釋出的資訊運作。《連線》雜志的網站報道了這個故事,最初由布萊恩·Barrett.com(Brian Barrett.com)撰寫的"一個十億美元黑客組織的狂野内心"。
圖檔來源:GETTY IMAGES
據估計,Fin7黑客組織從世界各地的公司竊取了超過10億美元。僅在美國,Fin7就從3,600多家商戶那裡竊取了超過1500萬個信用卡号碼。周三,美國司法部透露,它已經逮捕了三名據稱是該組織成員的人 - 更重要的是,詳細介紹了該組織的運作方式。
起訴書稱,三名烏克蘭人 - Dmytro Fedorov,Fedir Hladyr和Andriy Kopakov - 是Fin7的成員,為世界上最複雜,最具侵略性和經濟動機的黑客組織之一的多年統治做出了貢獻。每個人都被指控犯有26項重罪,從陰謀欺詐到計算機黑客攻擊再到身份盜竊。
據說這三人在Fin7中發揮了關鍵作用:Khladir是系統管理者,Federov和Kozakov是黑客組織的監視者。盡管Fin7自被捕以來一直在繼續運作 - Khladir和Federov在一月份被捕,Kozakov在六月份被捕 - 但逮捕标志着執法部門首次克服了一個模糊的網絡犯罪帝國。
"調查仍在繼續。我們并不幻想我們已經徹底粉碎了這個團體。但我們已經取得了成果,"美國檢察官安妮特海耶斯在宣布起訴書的新聞釋出會上說。"這些黑客認為他們可以躲在遙遠地方的鍵盤後面,以逃避美國法律。我在這裡要告訴你們,我認為這句話非常清楚地表明,他們不可能一直逍遙法外。"
司法部的聲明以及FireEye Security的一份新報告為我們提供了前所未有的洞察力,了解Fin7的工作原理和水準。"他們使用的許多技術通常由國家支援的攻擊者使用。FireEye的威脅分析師,Fin7報告的合著者Barry Vengerik說。"他們使用的技術的複雜性在出于經濟動機的黑客的情況下很少見。
網絡釣魚郵件
去年3月27日左右,Red Robin Gourmet Burgers and Brews的一名員工收到了來自ray.donovan的電子郵件,[email protected]。這封電子郵件向他抱怨了最近的經曆,并敦促收件人打開附件以擷取更多詳細資訊。員工也做了同樣的事情。幾天之内,Fin7就已經映射出Red Robin的内部網絡建設。在一周内,它獲得了餐廳銷售點軟體管理工具的使用者名和密碼。據美國司法部稱,在兩周内,Fin7的一名成員上傳了一份檔案,其中包含來自798家Red Robin商店的數百個使用者名和密碼,以及"餐館中網際網路資訊,電話通信和警報闆的位置"。
在對Fin7的起訴書中,除了Red Robin之外,還有其他九起事件,每起事件都遵循了大緻相同的劇本。它以電子郵件開頭。它看起來很正常:例如,酒店預訂查詢或餐飲公司的訂單。它甚至沒有附件。這隻是另一個客戶問一個問題或想知道他們關心什麼。
然後,無論是第一次,還是在來回發送幾封電子郵件後,都會有一個請求:檢查附件中的Word文檔或文本檔案,其中包含所有相關資訊。如果您沒有打開它 - 甚至在您收到它之前 - 有人會打電話給您并提醒您。
起訴書說:"當針對連鎖酒店或連鎖餐廳時,同謀者會進行後續電話,謊稱預訂請求,食品訂單或客戶投訴的詳細資訊可以在之前發送的電子郵件附件中找到。
FireEye提到了一家目标餐廳,該餐廳收到了"預定的檢查和清單",并且該電子郵件被FDA标題。發送給目标酒店的電子郵件可能會聲稱附件包含某人将袋子留在房間的照片。方法各不相同。雖然"不要向陌生人打開附件"是第一條不是網絡釣魚的規則,但Fin7針對的是那些在正常業務過程中需要小心的組織。
"嗨,我的名字是詹姆斯·安裡爾,我想在明天上午11點預訂外賣。附件包含訂單和我的個人資訊。單擊頁面頂部的編輯,然後輕按兩下以解鎖内容,"司法部釋出的網絡釣魚電子郵件示例中寫道。每條消息不僅針對特定業務量身定制,而且通常由提出請求的個人直接發送。FireEye表示,在一個案例中,Fin7甚至填寫了零售商的線上表格來提出投訴。
圖檔來源:聯邦調查局
正如人們可能認為的那樣,當目标按下滑鼠時,惡意軟體會下載下傳到他們的計算機上。具體來說,Fin7用定制版本的Carbanak攻擊了他們,這是幾年前對銀行的一系列攻擊中的第一次。根據起訴書,黑客會将受攻擊的機器放在僵屍網絡中,在那裡他們可以洩漏檔案,入侵與受害者位于同一網絡上的其他計算機,甚至捕獲工作站的螢幕截圖和視訊以竊取憑據和其他可能有價值的資訊。
最重要的是,Fin7通常通過攻擊Chipotle,Chili和Arby等公司銷售點的硬體來竊取信用卡資料。據稱,該組織竊取了數百萬張信用卡資料,然後在小醜的藏匿處等黑市網站上出售。
"如果我們談論規模,或受影響的受害者組織的數量,它絕對是最大的,"Wenglik說。但也許比該組織的影響範圍更令人印象深刻的是其複雜性。
<h3>下一階段</h3>
起訴書中最引人注目的細節不是Fin7持續黑客攻擊的結果,而是他們努力接觸和隐藏它。
"FIN7使用一家名為Combi Security的公司,總部位于俄羅斯和以色列,提供合法性并招募黑客加入犯罪企業,"美國司法部在一份新聞稿中寫道。"具有諷刺意味的是,該公司在其網站上将許多美國受屈的公司列為客戶。
根據該頁面的存檔版本,該網站至少自3月以來一直被列為待售網站。目前尚不清楚Combi Security招募的計算機程式員是否了解其活動水準。畢竟,行業标準的滲透測試看起來很像黑客攻擊,但得到了目标公司的支援。"他們經曆了最初的妥協和不同的階段,他們可能不知道入侵的真正目的,"FireEye進階經理、該公司最新Fin7報告的合著者尼克·卡爾(Nick Carr)說。
起訴書進一步概述了Fin7的組織結構和相關活動。成員通常通過私人HipChat伺服器和許多私人HipChat聊天室進行通信,"共同處理惡意軟體和入侵受害者"并共享被盜的信用卡資料。據稱,他們使用另一個Atlassian項目Jira進行項目管理,以跟蹤入侵,網絡地圖和被盜資料的詳細資訊。
雖然目前尚不清楚有多少人 - 起訴書說"數十名具有不同技能的成員" - 但它的組織能力與許多公司相同或更大。而且它的黑客技能通常不會在有組織的國家行動中丢失。
"我們積極應對對網絡的入侵,調查過去的活動,并看到他們發明新技術,"卡爾說。"發明自己的技術隻是下一個層次。
這些技術的範圍從新形式的指令行到新的持久通路方法。最重要的是,Fin7似乎能夠在日常生活中改變其方法,并在正确的時間調整其目标,輕松地将其從銀行轉移到酒店和餐館。美國司法部的起訴書稱,黑客最近瞄準了處理SEC檔案的公司的員工,顯然是為了更深入地了解市場動态。
FireEye表示,它已經看到該集團将重點轉移到歐洲和中亞的金融機構客戶。盡管美國司法部對此事給予了新的關注,但仍然隻有這麼多的知名度。
然而,逮捕三人并不能阻止這種複雜或廣泛的行動。但對該組織技術的深入研究至少可以幫助未來的受害者避免Fin7攻擊。
原始連結:https://www.wired.com/story/fin7-wild-inner-workings-billion-dollar-hacking-group/
編譯組生成。編輯:于鵬成