日前,美国司法部发布了一份针对网络犯罪组织Fin7的起诉书,通过被逮捕的三名内部人士透露出来的信息,概述了该组织的运作方式。《连线》杂志网站就此事进行了报道,原文标题为“THE WILD INNER WORKINGS OF A BILLION-DOLLAR HACKING GROUP”,作者为布莱恩·巴雷特(BRIAN BARRETT)。
图片来源:GETTY IMAGES
据估计,Fin7黑客组织已经从世界各地的公司中窃取了超过10亿美元。仅在美国,Fin7就从3600多个商家窃取了超过1500万个信用卡号码。上周三,美国司法部透露,它逮捕了三名据称是该组织成员的人——更重要的是,他们详细说明了该组织的运作方式。
起诉书称,这三名乌克兰人——德米特罗·费德罗夫(Dmytro Fedorov)、费迪尔·赫拉迪尔(Fedir Hladyr)和安德里·科扎科夫(Andrii Kopakov)——是Fin7的成员,为这个世界上最复杂、最具侵略性、最有经济动机的黑客组织之一长达数年的统治做出了贡献。每一个人都被指控犯有26项重罪,从阴谋诈骗到计算机黑客攻击,再到盗窃身份。
据称,他们三人在Fin7中担任了重要角色:赫拉迪尔是系统管理员,费德罗夫和科扎科夫是黑客组织的监督者。尽管自从他们被逮捕以来,Fin7一直在继续运作——赫拉迪尔和费德罗夫在1月份被逮捕,科扎科夫在6月份——这些逮捕标志着执法部门首次战胜了阴暗的网络犯罪帝国。
“调查还在继续。我们并没有幻想我们已经把这个群体完全击垮了。但是我们已经取得了成果,”美国律师安妮特·海耶斯(Annette Hayes)在宣布起诉书的新闻发布会上说。“这些黑客认为他们可以躲在遥远的地方的键盘后面逃避美国法律。我在这里告诉大家,我认为这个声明说得很清楚,他们是不可能一直逍遥法外的。”
美国司法部的声明,以及 FireEye 安全公司的一份新报告,给我们了解 Fin7如何运作、在什么层面上运作提供了前所未有的洞察力。 “他们使用的许多技术,通常都是国家资助的攻击者使用的。”FireEye 的威胁分析师、 Fin7报告的合著者巴里·文格里克(Barry Vengerik)表示。“他们使用的技术的复杂程度,在经济动机趋势下的黑客身上并不多见。”
钓鱼邮件
大约在去年3月27日左右,Red Robin Gourmet Burgers and Brews的一名员工收到了来自 ray.donovan 84@yahoo.com 的电子邮件。 邮件中向他抱怨了最近的一次经历,并敦促收件人打开附件以获得更多细节。 这名员工照做了。 几天之内,Fin7就绘制出了 Red Robin 的内部网络构造图。不到一周,它就获得了这家餐厅销售点软件管理工具的用户名和密码。 据美国司法部称,在两周内,一名 Fin7成员上传了一份文件,其中包含了798个Red Robin门店的数百个用户名和密码,还有“网络信息、电话通讯以及餐馆内警报板的位置”。
在指控Fin7公司的起诉书中,除了Red Robin之外还有9起其他事件,每起事件都遵循大致相同的剧本。 它从一封电子邮件开始。 它看起来很正常:比方说,一个酒店的预订查询,或者接到餐饮公司的订单。 它甚至不一定有附件。 只是另一个客户在问一个问题或想要了解自己关心的事情。
然后,无论是在第一次、还是在来回发送了几封电子邮件之后,都会有这样的请求:请查看附件中的Word doc或文本文件,它包含了所有的相关信息。如果你没有打开它——或者甚至在你收到它之前——会有人给你打电话,提醒你。
“当瞄准一家连锁酒店或连锁餐馆时,共谋者会打一个后续电话,谎称预订请求、餐饮订单或顾客投诉的细节可以在之前发送的电子邮件附件中找到,”起诉书中称。
FireEye提到一个目标餐馆,收到了“预定进行的检查和检查清单”,邮件的抬头是FDA。发送给目标酒店的电子邮件可能声称,附件中包含有人把包留在房间里的照片。方法各不相同。虽然“不要打开陌生人的附件”是不被钓鱼的第一条规则,但Fin7针对的组织需要在正常的业务过程中严防这一点。
“嗨,我叫詹姆斯·安里尔(James Anhril),我想预订明天上午11点的外卖。附件中包含订单和我的个人信息。点击页面顶部的编辑,然后双击解锁内容,”司法部发布的一封钓鱼邮件示例中写道。每条消息不仅是针对特定业务定制的,而且通常由提出这种请求的个人直接发送。FireEye说,在一个案例中,Fin7甚至填写了零售商的网络表格来提出投诉。
图片来源:FBI
就像人们可能假设的那样,当目标按下鼠标时,恶意软件就会下载到他们的机器上。具体来说,Fin7用定制版的Carbanak攻击他们,这是几年前在一系列针对银行的攻击中首次出现的。根据起诉书,黑客会把受到攻击的机器放在僵尸网络中,通过其指挥和控制中心,他们可以将文件泄露出去,在与受害者同一个网络上侵入其他电脑,甚至捕捉工作站的截图和视频来窃取凭据和其他可能有价值的信息。
最重要的是,Fin7通常是通过攻击Chipotle、Chili和Arby等公司销售点的硬件,然后窃取了信用卡的数据。 据称,该集团窃取了数百万张信用卡数据,并随后在黑市网站上出售,比如 Joker's Stash。
“如果我们谈论的是规模,或者是受到影响的受害者组织的数量,它肯定是最大的,”文格里克说。但是,比这个组织的影响范围更令人印象深刻的可能是它的复杂程度。
下一阶段
起诉书中最惊人的细节,不是Fin7持续进行的黑客攻击的结果,而是他们为了达到和隐藏它而付出的努力。
“FIN7利用一家名为Combi Security公司当作幌子,总部设在俄罗斯和以色列,提供合法性,并招募黑客加入犯罪企业,”美国司法部在一份新闻稿中写道。“具有讽刺意味的是,这家公司在网站上,把许多美国的受害企业列成了客户。"
根据该网页的一个存档版本,该网站至少从3月份起就被列为待售网站。尚不清楚的是,Combi Security招募的计算机程序员是否意识到他们的活动是在什么层次上。毕竟,行业标准的渗透测试看起来很像黑客攻击,只不过得到了目标公司的支持。“他们会经历最初的妥协和不同的阶段,也可能不知道他们入侵的真正目的,”FireEye的高级经理、该公司最新Fin7报告的合著者尼克·卡尔(Nick Carr)说。
起诉书还进一步概述了 Fin7的组织结构和相关活动。 成员们通常会通过一个私人的 HipChat 服务器和许多私人的 HipChat 房间进行交流,他们会“在处理恶意软件和入侵受害者业务方面进行合作”,以及共享盗取的信用卡数据。 据称他们利用了另一个 Atlassian 项目Jira,用于项目管理,跟踪入侵的细节、网络的地图和盗取的数据。
虽然还不清楚Fin7有多少人——起诉书称“有数十名拥有不同技能的成员”——但它的组织能力相当于或超过了许多公司。而且它的黑客技术通常不输于有组织的国家行动。
“我们积极应对网络中的入侵,调查过去的活动,同时看到他们发明新的技术,”卡尔说。“发明自己的技术,这只是下一个层次。”
这些技术的范围从一种新形式的命令行到一种新的持久访问方法。最重要的是,Fin7似乎能够在日常生活中改变其方法——并且能够在适当的时候调整其目标,轻松地将目标从银行转移到酒店和餐馆。美国司法部的起诉书称,黑客最近将目标对准了处理证券交易委员会文件的公司员工,这显然是为了更深入地了解市场动态的情报。
FireEye表示,它已经看到该集团将重点转移到欧洲和中亚的金融机构客户。尽管美国司法部对此事有了新的关注,但仍然只有那么多的可见度。
逮捕三个人,虽然并不会阻止如此复杂或广泛的行动。但是,对该组织技术的深入研究,至少可以帮助未来的受害者避开Fin7的袭击。