2018年8月1日,美國華盛頓西區地方檢察官辦公室發佈一份起訴書,宣佈三名涉嫌參與Fin7黑客組織的烏克蘭公民被捕。該三位男子是Fin7重要人物 (44歲的 Dmytro Fedorov,33歲的 Fedir Hladyr 和30歲的 Andrii Kopakov),這三名男子被指控使用惡意軟件攻擊120多家美國公司,包括連鎖餐廳Chipotle和Arby’s,其它涉及的國家有英國、法國以及澳大利亞。
Fin7黑客組織
Fin7是著名的網絡犯罪組織之一,從2013年起攻擊銀行、金融機構以及各大公司的電子支付系統。到2017年初,該組織的犯罪活動達到巔峰。
- 2016年年初,該組織主要針對美國和中東的銀行和金融機構發起攻擊。
- 2016年7月, 美國著名酒店Omni Hotels & Resorts的信用卡支付系統遭到FIN7黑客組織攻擊。
- 2016年11月,該組織針對酒店行業的組織機構發起新一輪攻擊。
- 2017年1月,Carbanak開始利用Google服務進行命令與控制(C&C)通信。
- 2017年6月, FIN7利用新的無文件多段式攻擊瞄準美國連鎖餐廳;
- 2017年5月,與Carbanak Gang存在關係的FIN7利用Windows兼容性修復程序Shim攻擊美國證券交易委員會(SEC)。
- 2017年6月,現任美國總統川普的家族酒店集團Trump Hotels的信用卡數據被FIN7黑客組織盜走。
- 2017年9月,美國食品超級連鎖店全食超市(Whole Foods)旗下幾家分店出現信用卡數據被FIN7黑客組織盜走。
- 2017年12月, 快餐連鎖集團Jason’s Deli的信用卡數據庫被FIN7黑客組織攻破
- 2018年4月,著名的美國哈德遜灣公司(Hudson’s Bay Company,HBC)旗下的兩家百貨公司,奢侈品連鎖百貨薩克斯第五大道(Saks Fifth Avenue)以及高檔百貨店羅德與泰勒百貨(Lord & Taylor department stores),相繼遭到黑客襲擊,數據發生洩漏,已經超過500萬用戶的信用卡和借記卡卡號遭到洩漏!其中12.5萬的用戶信息,已經在“暗網上”被放出來公開售賣!
從2013年至2017年,他們成功滲透了 40 個國家和地區的 100 多家金融機構,截至目前的統計,他們已經精心策劃了針對 100 多個金融組織的攻擊,總共造成的金融業損失竟高達 10 億歐元。僅在美國,該集團已從超過6,500個支付結算點劫持了超過1500萬張支付卡詳細信息,造成的損失已經達到了數千萬美元。他們攻擊造成的損失,規模之大,令人觸目驚心。
據研究人員表示,該組織是具備高專業性、高嚴密性的網絡犯罪集團:
1.他們有嚴格的運作模式,與傳統公司一樣具有嚴謹的上下班時間
2.該組織分工明確,具有獨立的研究與開發團隊。
3.攻擊目標明確,大部分攻擊的都是金融機構以及高級酒店或者高級商場
4.該組織用於運營的工具和許多科技公司的工具一樣高端,普通防護措施效果不大
這次被抓捕的三名男子是Fin7黑客組織領導層重要人物。Fedir Hladyr 是一位計算機分析師和管理員,負責監管員工和 Fin7 的技術系統。他還運營該集團的私人 HipChat 服務器,該組織的成員在計劃入侵,傳播惡意軟件和交易盜竊數據時都是通過該服務器進行協調。Dmytro Fedorov是一名高級黑客和經理,負責監督其他黑客破壞受害者計算機系統的安全性。Andrii Kopakov是一名高級黑客。
攻擊手段
早在2017年,E安全就分析FIN7網絡犯罪組織的攻擊手段。該組織向來使用取巧、定製的魚叉式網絡釣魚誘餌發動攻擊。一旦目標遭遇感染,FIN 7會在網絡中橫向活動,使用各種反取證技術規避檢測。該組織習慣於使用對象鏈接與嵌入(OLE)技術,通過在在Word文檔中嵌入LNK文件來分發惡意軟件。在攻擊中經常採用“無文件”攻擊方式,即沒有文件寫入磁盤。ICEBRG的安全研究團隊(SRT)在發現FIN7已經切換到使用CMD文件而不是LNK文件,這樣做很可能是為了逃避檢測。據相關研究人員分析,FIN7的戰術遵循著高超黑客慣用的模式:初步攻擊建立立足點提權維持持久性橫向活動最終完成任務。Morphisec總結稱,不斷改變攻擊模式是FIN7的核心商業模式。FIN7每起攻擊包含足夠多的新功能躲避檢測。當安全廠商設法跟上步伐時,FIN7已經在準備下一起攻擊。
網絡犯罪需要全球合作
這次抓捕成功要歸功於美國FBI歐洲網絡力量部署(Hladyr與妻女在德國度假時被捕,Dmytro Fedorov 在波蘭被捕,Andrii Kopakov 在西班牙小鎮被捕),FBI在歐洲12個國家部署了法務專員,聘請了律師幫忙處理網絡法律問題,並且在東歐設置了一個辦事處幫助相對年輕的東歐國家建立自己的網絡力量。美國的情報人員,分析師和計算機科學家還向歐洲國家(從羅馬尼亞到愛沙尼亞,再到烏克蘭)提供培訓和聯絡。
閱讀更多 國信安全湖北中心 的文章
