Fin7:数十億ドル規模のハッキンググループの内部事情

Powity ookd Apps 0 comments
Fin7:数十億ドル規模のハッキンググループの内部事情

Fin7ハッカーグループは、少なくともある推計によると、世界中の企業から10億ドル以上を搾取してきました。米国だけでも、3,600以上の企業から1,500万件以上のクレジットカード番号を盗んでいます。司法省は水曜日、同グループのメンバーとされる3人を逮捕したことを明らかにしました。さらに重要なのは、その活動の詳細です。

起訴状によると、ウクライナ国籍のドミトロ・フェドロフ、フェディル・フラディール、アンドリー・コパコフの3人はFin7のメンバーであり、世界で最も洗練され、攻撃的、かつ金銭目的のハッキング組織の一つとして長年君臨してきたFin7の成功に貢献した。3人はそれぞれ、共謀、通信詐欺、コンピューターハッキング、個人情報窃盗など、26件の重罪で起訴されている。

3人はFin7で重要な役割を担っていたとされている。フラディールはシステム管理者、フェドロフとコパコフはハッカーグループの監督者だった。Fin7は、フラディールとフェドロフが1月に、コルパコフが6月に拘束されて以来、活動を続けているものの、今回の逮捕は、法執行機関にとってこの闇のサイバー犯罪帝国に対する最初の勝利となる。

「捜査は継続中です。このグループを完全に壊滅させたという幻想は抱いていません。しかし、大きな成果を上げました」と、起訴状を発表する記者会見でアネット・ヘイズ米国検事は述べた。「ハッカーたちは、遠く離れた場所でキーボードの後ろに隠れ、米国法の厳重な監視を逃れられると考えています。しかし、私はここに来て、彼らにはそれが不可能であることをお伝えしたいと思います。今回の発表は、彼らにはそれが不可能であることを明確に示すものだと思います。」

司法省の発表とセキュリティ企業FireEyeの最新レポートは、Fin7がどのように、そしてどのレベルで活動しているかについて、これまでにない洞察を与えている。「彼らは、国家支援型の攻撃者と関連付けられることが多い多くの手法を、金融攻撃の領域に持ち込んでいます」と、FireEyeの脅威アナリストでFin7レポートの共著者であるバリー・ベンゲリック氏は述べている。「彼らは、金銭目的の攻撃者からはこれまで見たことのないような高度な技術を用いています。」

フィッシュフライ

昨年3月27日頃、レッドロビン・グルメバーガーズ・アンド・ブリューズの従業員が[email protected]からメールを受け取りました。メールには最近の経験についての苦情が書かれており、受信者は添付ファイルを開いて詳細を確認するよう促されていました。受信者は添付ファイルを開きました。数日のうちに、Fin7はレッドロビンの社内ネットワークをマッピングしました。1週間以内に、レストランのPOSソフトウェア管理ツールのユーザー名とパスワードを入手しました。そして2週間以内に、Fin7のメンバーが、レッドロビン798店舗の数百件のユーザー名とパスワード、そして「ネットワーク情報、電話通信、レストラン内の警報パネルの位置」を含むファイルをアップロードしたと司法省は述べています。

Fin7の起訴状は、Red Robin以外にも9件の事件を告発しており、いずれもほぼ同じ手口で動いている。発端は1通のメールだ。一見無害に見える。例えば、ホテルに予約の問い合わせを送ったり、ケータリング会社に注文を受け取ったりといった具合だ。添付ファイルさえ付いていない。ただの顧客やクライアントが質問や懸念事項を問い合わせてきただけだ。

そして、最初のアウトリーチで、あるいは数回のメールのやり取りの後、次のような依頼が来ます。「添付のWord文書またはリッチテキストファイルをご覧ください。必要な情報はすべて含まれています。」そして、もしあなたがそれを開かなかった場合、あるいは受け取る前に、誰かが電話をかけてきて、開くように促します。

起訴状によると、「ホテルチェーンやレストランチェーンを標的とした場合、共謀者は予約リクエスト、ケータリング注文、顧客からの苦情の詳細が、以前に送信したメールに添付されたファイルに記載されていると虚偽の主張をするフォローアップの電話をかける」という。

FireEyeは、あるレストランの標的が、FDA(米国食品医薬品局)のレターヘッドに書かれた「実施予定の検査と点検のリスト」を受け取ったと報告しています。ホテルの被害者へのメールでは、誰かが部屋に置き忘れたバッグの写真を添付し​​ていると主張するケースもありました。手口は様々でした。「知らない人からの添付ファイルは開かない」ことはフィッシング詐欺に遭わないための第一のルールですが、Fin7は、業務上まさにそれを実行する必要のある組織を標的にしました。

「こんにちは、ジェームズ・アンリルです。明日の午前11時にテイクアウトの注文をしたいのですが。同封のファイルには注文内容と私の個人情報が含まれています。ページ上部の編集をクリックし、ダブルクリックしてコンテンツのロックを解除してください」と、司法省が公開したフィッシングメールの例には書かれています。各メッセージは特定の企業に合わせてカスタマイズされているだけでなく、通常そのようなリクエストに対応する個人に直接送信されることが多かったです。FireEyeによると、少なくとも1つの事例では、Fin7が小売業者のウェブフォームに記入して苦情を申し立て、被害者が最初のメールで連絡を取ったとのことです。

画像にはファイルテキストとウェブページが含まれている可能性があります

FBI

そして、標的がクリックすると、当然のことながら、彼らは自分のマシンにマルウェアをダウンロードしました。具体的には、Fin7はCarbanakのカスタマイズ版で攻撃を行いました。Carbanakは数年前、銀行を狙った一連の攻撃で初めて出現しました。起訴状によると、ハッカーたちは侵入したマシンをボットネットに閉じ込め、そのコマンド&コントロールセンターを通じてファイルを盗み出し、被害者と同じネットワーク上の他のコンピューターに侵入し、さらにはワークステーションのスクリーンショットや動画を撮影して、認証情報などの潜在的に価値のある情報を盗み出しました。

Fin7は、チポトレ、チリーズ、アービーズといった企業のPOSハードウェアに侵入することで、主に決済カードデータを盗み出しました。同グループは数百万枚もの決済カード番号を盗み出し、後にJoker's Stashなどのブラックマーケットサイトで販売したとされています。

「規模、つまり私たちが支援してきた被害組織の数で言えば、彼らは間違いなく最大規模です」とベンゲリック氏は言う。しかし、組織の規模の大きさよりもさらに印象的なのは、その洗練された手腕かもしれない。

「次のレベル」

水曜日の起訴状で最も驚くべき詳細は、Fin7 の継続的なハッキング活動の結果ではなく、それを実行し、隠蔽するために同社がどれだけの努力を払ったかということに集中している。

「FIN7は、ロシアとイスラエルに本社を置くとされるフロント企業、コンビ・セキュリティを利用して、正当性を装い、ハッカーを犯罪組織に勧誘していた」と司法省はプレスリリースで述べた。「皮肉なことに、この偽会社のウェブサイトには、複数の米国人被害者が顧客として記載されていた。」

当該ウェブサイトは、アーカイブ版のページで少なくとも3月から売りに出されていた。不明なのは、コンビ・セキュリティが採用したコンピュータプログラマーたちが、自分たちの活動が非道な行為だと認識していたかどうかだ。業界標準の侵入テストは、結局のところ、標的企業の承認を得たハッキン​​グと非常によく似ている。「彼らは、侵入の真の目的を知らないまま、初期の侵入やその後の段階に対処していただろう」と、ファイア・アイのシニアマネージャーで、同社の最新のFin7レポートの共著者であるニック・カー氏は述べている。

起訴状は、Fin7の構造と活動内容についても詳細に述べている。メンバーはプライベートHipChatサーバーと多数のプライベートHipChatルームを介して頻繁に連絡を取り、「マルウェアや被害者のビジネスへの侵入について共同作業」し、盗んだクレジットカード情報を共有していたとされている。また、彼らはプロジェクト管理、侵入の詳細追跡、ネットワークマップ、盗んだデータの追跡に、Atlassianの別のプログラムであるJiraを使用していたとされている。

Fin7の構成員数はまだ不明だが(起訴状では「多様なスキルセットを持つ数十人のメンバー」とされている)、その組織力は多くの企業に匹敵、あるいはそれを凌駕しているようだ。そして、そのハッキングスキルは、通常は国家レベルの組織にしか発揮されない水準に達している。

「私たちはネットワークへの侵入に積極的に対応し、過去の活動を調査し、同時に彼らが新たな行動を展開していく様子を観察していました」とカー氏は語る。「独自の技術を発明するというのは、まさに次のレベルと言えるでしょう。」

これらの手法は、新しい形式のコマンドライン難読化から、永続的なアクセスを実現する斬新な手法まで多岐にわたります。特にFin7は、日々攻撃手法を変化させ、適切なタイミングで標的をローテーションさせ、銀行からホテル、レストランへと容易に切り替えることができるようです。司法省の起訴状によると、ハッカーたちは最近、証券取引委員会(SEC)への提出書類を扱う企業の職員を標的にしており、市場を左右する情報を事前に把握しようとしていたようです。

FireEyeによると、このグループが既にヨーロッパと中央アジアの金融機関の顧客に標的を移している模様だ。あるいは、同様の手法を用いる分派グループなのかもしれない。司法省による新たな注目にもかかわらず、依然として目に見える範囲は限られている。

3人の逮捕者では、これほど高度で広範囲に及ぶ攻撃を阻止することはできません。しかし、このグループの手法をこれまで以上に深く調査することで、少なくとも将来の被害者がFin7の次の攻撃を未然に防ぐのに役立つかもしれません。

WIREDのその他の素晴らしい記事

  • Googleのセーフブラウジングがどのようにウェブの安全性を高めたか
  • フォトエッセイ:今まで見た中で最も美しい鳩たち
  • 科学者たちは木星の周りに12個の新しい衛星を発見した。その仕組みは以下のとおりだ。
  • アメリカ人がTwitterのロシアボット​​リストに載ることになった経緯
  • イーロンのドラマを超えて、テスラの車はスリリングなドライバーたちだ
  • 毎週のBackchannelニュースレターで、さらに多くの内部情報を入手してください。

Related Posts

科学は完璧なジンの作り方を発見した

科学は完璧なジンの作り方を発見した

ookd • 0 comments
Googleフォトの無料・無制限ストレージは来年終了

Googleフォトの無料・無制限ストレージは来年終了

ookd • 0 comments
リモートワークには大きなセクハラ問題が潜んでいる

リモートワークには大きなセクハラ問題が潜んでいる

ookd • 0 comments
ポーンと苦しみ

ポーンと苦しみ

ookd • 0 comments
ヘルシンキの最高のスタートアップ

ヘルシンキの最高のスタートアップ

ookd • 0 comments
ケンブリッジ・アナリティカの危険性を何年も前に察知した男

ケンブリッジ・アナリティカの危険性を何年も前に察知した男

ookd • 0 comments
ブロックチェーンの調整で暗号通貨の巨大なエネルギー問題を解決できるかもしれない

ブロックチェーンの調整で暗号通貨の巨大なエネルギー問題を解決できるかもしれない

ookd • 0 comments
Apple AirTagsはARの完璧な退屈で機能的な未来だ

Apple AirTagsはARの完璧な退屈で機能的な未来だ

ookd • 0 comments
現実はあらゆる可能な現実の総和であるかもしれない

現実はあらゆる可能な現実の総和であるかもしれない

ookd • 0 comments
睡眠トラッカーおすすめ8選(2024年):専門家のアドバイスと調査

睡眠トラッカーおすすめ8選(2024年):専門家のアドバイスと調査

ookd • 0 comments

You Might Have Missed

リモートワークには大きなセクハラ問題が潜んでいる

リモートワークには大きなセクハラ問題が潜んでいる

Apple
ケンブリッジ・アナリティカの危険性を何年も前に察知した男

ケンブリッジ・アナリティカの危険性を何年も前に察知した男

Apps
Googleフォトの無料・無制限ストレージは来年終了

Googleフォトの無料・無制限ストレージは来年終了

Apple
ポーンと苦しみ

ポーンと苦しみ

Apps
ヘルシンキの最高のスタートアップ

ヘルシンキの最高のスタートアップ

Apple
現実はあらゆる可能な現実の総和であるかもしれない

現実はあらゆる可能な現実の総和であるかもしれない

Apple
Apple AirTagsはARの完璧な退屈で機能的な未来だ

Apple AirTagsはARの完璧な退屈で機能的な未来だ

Apple
ブロックチェーンの調整で暗号通貨の巨大なエネルギー問題を解決できるかもしれない

ブロックチェーンの調整で暗号通貨の巨大なエネルギー問題を解決できるかもしれない

Apple
睡眠トラッカーおすすめ8選(2024年):専門家のアドバイスと調査

睡眠トラッカーおすすめ8選(2024年):専門家のアドバイスと調査

Apple
科学は完璧なジンの作り方を発見した

科学は完璧なジンの作り方を発見した

Apple