H ομάδα χάκερ FIN4 πραγματοποίησε περισσότερες από 100 επιθέσεις το 2013, σε εταιρείες εισηγμένες στο χρηματιστήριο (Wallstreet) ή εταιρείες συμβουλευτικών υπηρεσιών.
Οι ερευνητές της FireEye αναφέρουν σε έκθεση τους, ότι επιθέσεις πραγματοποιήθηκαν με σκοπό την υποκλοπή απόρρητων δεδομένων: “Η FIN4 επεδίωξε να εισβάλει σε δίκτυα 100 περίπου εταιρειών, εκ των οποίων οι περισσότερες (2/3) είναι φαρμακευτικές εταιρείες ή σχετίζονται με τη δημόσια υγειονομική περίθαλψη. Οι υπόλοιποι στόχοι περιλαμβάνουν συμβουλευτικές επιχειρήσεις που αντιπροσωπεύουν δημόσιους οργανισμούς” αναφέρεται μεταξύ άλλων στην έκθεση.
Πώς πραγματοποιούνται οι επιθέσεις
Για τις επιθέσεις τους, οι hackers χρησιμοποιούν καλοφτιαγμένα spear phishing emails με στόχο να κλέψουν τα διαπιστευτήρια ηλεκτρονικού ταχυδρομείου (username, password). Η πρόσβαση σε λογαριασμούς ηλεκτρονικού ταχυδρομείου κορυφαίων στελεχών, νομικών συμβούλων, ερευνητών, εξωτερικών συμβούλων, επιτρέπει στη FIN4 να αποκτά εμπιστευτικές πληροφορίες που θα μπορούσαν να επηρεάσουν τις τιμές των μετοχών και δώσουν ένα σημαντικό πλεονέκτημα στις συναλλαγές.
Εμπειρογνώμονες της FireEye έχουν βρει εννέα C&C servers που χρησιμοποιούνται από την ομάδα FIN4, η οποία κινείται με κλεμμένα στοιχεία μέσω του δικτύου Tor .”Η FIN4 φαίνεται να εξαρτάται σε μεγάλο βαθμό από λογισμικό Tor, το οποίο χρησιμοποιεί για να συνδεθεί σε λογαριασμούς email, των θυμάτων.
Η FIN4 δεν χρησιμοποιεί κανένα κακόβουλο λογισμικό για την υποκλοπή δεδομένων και κωδικών των χρηστών. Οι ειδικοί ανακάλυψαν ότι χρησιμοποιεί phishing e-mails, τα οποία είναι ιδιαίτερα ελκυστικά για τους επενδυτές και τους μετόχους. Συνήθως το e-mail περιέχει ένα έγγραφο Microsoft Office με VBA Macros. Μόλις ο χρήστης ανοίξει το έγγραφο, αναδύεται ένα παράθυρο διαλόγου του Outlook, που ζητά τα διαπιστευτήρια του χρήστη.
Οι ειδικοί παρατήρησαν επίσης, ότι οι επιτιθέμενοι χρησιμοποίησαν την πρόσβαση στους λογαριασμούς των θυμάτων, για να χειραγωγήσουν συζητήσεις σχετικά με συγκεκριμένα θέματα. Αξιοσημείωτο ωστόσο είναι ότι οι hackers δημιούργησαν ειδικούς κανόνες του Outlook για τους λογαριασμούς των θυμάτων, που ανακατευθύνουν τα μηνύματα ηλεκτρονικού ταχυδρομείου που περιέχουν λέξεις όπως “κακόβουλο λογισμικό”, “hacked” και “phishing”, στο φάκελο Διαγραμμένα, προφανώς για να αποφύγουν το ενδεχόμενο ότι τα θύματα θα ειδοποιηθούν σχετικά με τις συνεχιζόμενες επιθέσεις.
