編者按:日前,美國司法部發布了一份針對網絡犯罪組織Fin7的起訴書,通過被逮捕的三名內部人士透露出來的信息,概述了該組織的運作方式。《連線》雜誌網站就此事進行了報導,原文標題為「THE WILD INNER WORKINGS OF A BILLION-DOLLAR HACKING GROUP」,作者為布萊恩·巴雷特(BRIAN BARRETT)。
圖片來源:GETTY IMAGES
據估計,Fin7黑客組織已經從世界各地的公司中竊取了超過10億美元。僅在美國,Fin7就從3600多個商家竊取了超過1500萬個信用卡號碼。上周三,美國司法部透露,它逮捕了三名據稱是該組織成員的人——更重要的是,他們詳細說明了該組織的運作方式。
起訴書稱,這三名烏克蘭人——德米特羅·費德羅夫(Dmytro Fedorov)、費迪爾·赫拉迪爾(Fedir Hladyr)和安德裡·科扎科夫(Andrii Kopakov)——是Fin7的成員,為這個世界上最複雜、最具侵略性、最有經濟動機的黑客組織之一長達數年的統治做出了貢獻。每一個人都被指控犯有26項重罪,從陰謀詐騙到計算機黑客攻擊,再到盜竊身份。
據稱,他們三人在Fin7中擔任了重要角色:赫拉迪爾是系統管理員,費德羅夫和科扎科夫是黑客組織的監督者。儘管自從他們被逮捕以來,Fin7一直在繼續運作——赫拉迪爾和費德羅夫在1月份被逮捕,科扎科夫在6月份——這些逮捕標誌著執法部門首次戰勝了陰暗的網絡犯罪帝國。
「調查還在繼續。我們並沒有幻想我們已經把這個群體完全擊垮了。但是我們已經取得了成果,」美國律師安妮特·海耶斯(Annette Hayes)在宣布起訴書的新聞發布會上說。「這些黑客認為他們可以躲在遙遠的地方的鍵盤後面逃避美國法律。我在這裡告訴大家,我認為這個聲明說得很清楚,他們是不可能一直逍遙法外的。」
美國司法部的聲明,以及 FireEye 安全公司的一份新報告,給我們了解 Fin7如何運作、在什麼層面上運作提供了前所未有的洞察力。 「他們使用的許多技術,通常都是國家資助的攻擊者使用的。」FireEye 的威脅分析師、 Fin7報告的合著者巴裡·文格裡克(Barry Vengerik)表示。「他們使用的技術的複雜程度,在經濟動機趨勢下的黑客身上並不多見。」
釣魚郵件
大約在去年3月27日左右,Red Robin Gourmet Burgers and Brews的一名員工收到了來自 ray.donovan 84@yahoo.com 的電子郵件。 郵件中向他抱怨了最近的一次經歷,並敦促收件人打開附件以獲得更多細節。 這名員工照做了。 幾天之內,Fin7就繪製出了 Red Robin 的內部網絡構造圖。不到一周,它就獲得了這家餐廳銷售點軟體管理工具的用戶名和密碼。 據美國司法部稱,在兩周內,一名 Fin7成員上傳了一份文件,其中包含了798個Red Robin門店的數百個用戶名和密碼,還有「網絡信息、電話通訊以及餐館內警報板的位置」。
在指控Fin7公司的起訴書中,除了Red Robin之外還有9起其他事件,每起事件都遵循大致相同的劇本。 它從一封電子郵件開始。 它看起來很正常:比方說,一個酒店的預訂查詢,或者接到餐飲公司的訂單。 它甚至不一定有附件。 只是另一個客戶在問一個問題或想要了解自己關心的事情。
然後,無論是在第一次、還是在來回發送了幾封電子郵件之後,都會有這樣的請求:請查看附件中的Word doc或文本文件,它包含了所有的相關信息。如果你沒有打開它——或者甚至在你收到它之前——會有人給你打電話,提醒你。
「當瞄準一家連鎖酒店或連鎖餐館時,共謀者會打一個後續電話,謊稱預訂請求、餐飲訂單或顧客投訴的細節可以在之前發送的電子郵件附件中找到,」起訴書中稱。
FireEye提到一個目標餐館,收到了「預定進行的檢查和檢查清單」,郵件的抬頭是FDA。發送給目標酒店的電子郵件可能聲稱,附件中包含有人把包留在房間裡的照片。方法各不相同。雖然「不要打開陌生人的附件」是不被釣魚的第一條規則,但Fin7針對的組織需要在正常的業務過程中嚴防這一點。
「嗨,我叫詹姆斯·安裡爾(James Anhril),我想預訂明天上午11點的外賣。附件中包含訂單和我的個人信息。點擊頁面頂部的編輯,然後雙擊解鎖內容,」司法部發布的一封釣魚郵件示例中寫道。每條消息不僅是針對特定業務定製的,而且通常由提出這種請求的個人直接發送。FireEye說,在一個案例中,Fin7甚至填寫了零售商的網絡表格來提出投訴。
圖片來源:FBI
就像人們可能假設的那樣,當目標按下滑鼠時,惡意軟體就會下載到他們的機器上。具體來說,Fin7用定製版的Carbanak攻擊他們,這是幾年前在一系列針對銀行的攻擊中首次出現的。根據起訴書,黑客會把受到攻擊的機器放在殭屍網絡中,通過其指揮和控制中心,他們可以將文件洩露出去,在與受害者同一個網絡上侵入其他電腦,甚至捕捉工作站的截圖和視頻來竊取憑據和其他可能有價值的信息。
最重要的是,Fin7通常是通過攻擊Chipotle、Chili和Arby等公司銷售點的硬體,然後竊取了信用卡的數據。 據稱,該集團竊取了數百萬張信用卡數據,並隨後在黑市網站上出售,比如 Joker's Stash。
「如果我們談論的是規模,或者是受到影響的受害者組織的數量,它肯定是最大的,」文格裡克說。但是,比這個組織的影響範圍更令人印象深刻的可能是它的複雜程度。
下一階段
起訴書中最驚人的細節,不是Fin7持續進行的黑客攻擊的結果,而是他們為了達到和隱藏它而付出的努力。
「FIN7利用一家名為Combi Security公司當作幌子,總部設在俄羅斯和以色列,提供合法性,並招募黑客加入犯罪企業,」美國司法部在一份新聞稿中寫道。「具有諷刺意味的是,這家公司在網站上,把許多美國的受害企業列成了客戶。"
根據該網頁的一個存檔版本,該網站至少從3月份起就被列為待售網站。尚不清楚的是,Combi Security招募的電腦程式員是否意識到他們的活動是在什麼層次上。畢竟,行業標準的滲透測試看起來很像黑客攻擊,只不過得到了目標公司的支持。「他們會經歷最初的妥協和不同的階段,也可能不知道他們入侵的真正目的,」FireEye的高級經理、該公司最新Fin7報告的合著者尼克·卡爾(Nick Carr)說。
起訴書還進一步概述了 Fin7的組織結構和相關活動。 成員們通常會通過一個私人的 HipChat 伺服器和許多私人的 HipChat 房間進行交流,他們會「在處理惡意軟體和入侵受害者業務方面進行合作」,以及共享盜取的信用卡數據。 據稱他們利用了另一個 Atlassian 項目Jira,用於項目管理,跟蹤入侵的細節、網絡的地圖和盜取的數據。
雖然還不清楚Fin7有多少人——起訴書稱「有數十名擁有不同技能的成員」——但它的組織能力相當於或超過了許多公司。而且它的黑客技術通常不輸於有組織的國家行動。
「我們積極應對網絡中的入侵,調查過去的活動,同時看到他們發明新的技術,」卡爾說。「發明自己的技術,這只是下一個層次。」
這些技術的範圍從一種新形式的命令行到一種新的持久訪問方法。最重要的是,Fin7似乎能夠在日常生活中改變其方法——並且能夠在適當的時候調整其目標,輕鬆地將目標從銀行轉移到酒店和餐館。美國司法部的起訴書稱,黑客最近將目標對準了處理證券交易委員會文件的公司員工,這顯然是為了更深入地了解市場動態的情報。
FireEye表示,它已經看到該集團將重點轉移到歐洲和中亞的金融機構客戶。儘管美國司法部對此事有了新的關注,但仍然只有那麼多的可見度。
逮捕三個人,雖然並不會阻止如此複雜或廣泛的行動。但是,對該組織技術的深入研究,至少可以幫助未來的受害者避開Fin7的襲擊。
原文連結:https://www.wired.com/story/fin7-wild-inner-workings-billion-dollar-hacking-group/
編譯組出品。編輯:郝鵬程