Spear Phishing - Spenetrowano 100 spółek z Wall Street

Grupa o nazwie FIN4 przejęła kontrolę nad skrzynkami pocztowymi ich pracowników i weszła w posiadanie informacji, które pozwoliły atakującym na “wydajniejszą” grę na giełdzie i w konsekwencji wyższe zarobki związane ze sprzedażą kontrolowanych przez nich akcji.

Dopracowana treść fałszwych e-maili

Ataki typu spear phishing wycelowane w pracowników konkretnych spółek rozpoczęły się, jak donosi w swoim raporcie FireEye,  w 2013 roku i w przeciwieństwie do słabych e-maili z literówkami (jakich pełno także w Polsce) były dopracowane — zarówno na warstwie językowej (korzystano z odpowiedniego “maklerskiego slangu”) jak i merytorycznej. Ponadto, większość wiadomości była zgodna treścią wątków rozmów, w jakie je wstrzykiwano, i odnosiła się do bieżących wydarzeń (np. trwających właśnie fuzji).

Celem ataków była kradzież danych do logowania do Microsoft Outlooka. Wysyłane przez atakujących wiadomości posiadały załączniki, które zawierały makra w Visual Basicu. Po uruchomieniu, makra te generowały wyskakujące okienko o takim wyglądzie:

Część z ofiar myślała, że została z jakiegoś powodu wylogowana z Outlooka i wpisywały w okienko swoje loginy i hasła. Jeśli firma blokowała wykonywanie skryptów VBA w załącznikach, atakujący korzystali z fałszywych, wyłudzających dane do logowania stron internetowych.

Oto przykład jednego z e-maili, odwołującego się do prawdziwego forum, którego skrypty umożliwiały przekierowanie na inny adres URL, z czego skorzystali atakujący:

Po nitce do kłębka

Po przejęciu konta pierwszego z pracowników, grupa wykorzystywała jego skrzynkę do dalszej penetracji firmy. Pomagały w tym książki adresowe i historia korespondencji na przejętym koncie. W ten sposób atakujący często dochodzili do skrzynek kadry kierowniczej.

Portfolio ofiar jest ogromne. Ponad 100 spółek, z czego 80 notowanych na giełdzie — reszta to firmy doradcze je obsługujące.

Dlaczego ataki były tak skuteczne?

Skuteczność tego typu ataków jest wysoka m.in. dlatego, że są świetnie dopasowane. Nie są nachalne i nie nakłaniają do instalacji oprogramowania czy (złośliwych) wtyczek do przeglądarki. Nie to jest celem. Atakujący, w przeciwieństwie do większości współczesnych “włamywaczy komputerowych” nie zarabiają na infekcji komputera złośliwym oprogramowaniem albo podpięciu go do botnetu. Oni zarabiają wyłącznie poprzez syntezę i skrupulatną analizę informacji znalezionych na skrzynkach pracowników.

To pokazuje, że atakujący posiadają ogromną wiedzę na temat tego jak działa giełda, ale aby wypracować na niej zyski, potrzebują wewnętrznych, poufnych informacji, które dziś — co nie jest dużym zaskoczeniem — najłatwiej znaleźć na komputerze… A więc phishing jest naturalną koleją rzeczy, jakże prostszą niż uwodzenie sekretarek z firmy–celu..

Na koniec warto zauważyć, że brak użycia malware’u znacznie opóźnia wykrycie incydentu przez IPS-y i systemy AV. Co więcej, wstrzykiwanie się w już trwające konwersacje (wątki e-mailowe) prowadzone pomiędzy kilkoma osobami, dodatkowo usypiało czujność ofiar. A jakby tego było mało, atakujący ustawiali automatyczne filtry na skrzynce ofiary, które miały za zadanie kasować wszystkie e-maile zawierające słowa “hacked”, “phish”, “malware”, itp.

Zespół bezpieczeństwa Niebezpiecznika analizował kiedyś jeden z ciekawszych przypadków straty sporej sumy pieniędzy z konta pewnej polskiej firmy — dla wygody nazwijmy ją X. Atakującym okazali się cudzoziemcy, który korzystając z podobnej domeny internetowej rozpoczynali konwersację z prawdziwymi pracownikami firmy X i jej dostawcami, ale stopniowo wyłączali poszczególne osoby z wątku poprzez podmianę ich adresów e-mail w polu CC na kontrolowane przez siebie, podobne w wyglądzie adresy. To prowadziło do ataku “man in the middle”; firma X myślała, że rozmawia z dostawcą, ale rozmawiała z atakującym. Dostawca myślał, że rozmawia z firmą X, ale rozmawiał z atakującym. Kiedy dostawca wysyłał fakturę za swój produkt, najpierw otrzymywali ją atakujący. Faktura, jak się można domyślić, dopiero po modyfikacji numeru rachunku na fałszywy, trafiała do firmy X …i niestety, została opłacona. Analiza domen użytych do ataku wykazała, że grupa trudni się tego typu działalnością od lat, i na swoich serwerach osadzała domeny łudząco podobne do innych dużych, znanych nie tylko w Polsce firm…

obrazki nie działają, jak to ludzi denerwuje...

obrazki nie działają, jak to ludzi denerwuje...

Dziwne, mi działały. Aż do teraz..

Poprawione.