Эксперты обнаружили группу промышленных кибершпионов в США
Эксперты по вопросам компьютерной безопасности из компании FireEye сообщили об обнаружении группы хакеров, специализирующихся на кибершпионаже. Группа, названная исследователями FIN4, занимается взломом почтовых ящиков руководства компании и использует полученные данные для игры на бирже, сообщает компания в отчете.
По данным FireEye. Жертвами FIN4 стали более 100 компаний, в основном связанных со сферой здравоохранения и биотехнологий, акции которых торгуются на NYSE и NASDAQ. Большинство компаний являются американскими. Вычислив жертву в руководящем составе компании, FIN4 высылают ей письмо с прикрепленным в ней документом Office. Каждое письмо составляется таким образом, чтобы жертва приняла его за подлинное — тексты письма написаны на грамотном английском языке человеком, знакомым с терминологией инвестиционных рынков и осведомленным во внутренних делах компаний. Вложенный документ содержит VBA-макросы, которые имитируют всплывающее окно, похожее на всплывающее окно Windows, требующее от пользователя подтверждения аутентификации (и повторного введения логина и пароля). Таким образом эти данные попадают на контролируемый злоумышленниками сервер.В ряде случаев FIN4 представляют клиентом компании, обеспокоенном возможным разглашением корпоративных данных на форуме. В письмо приложена ссылка, которая перенаправляет пользователя на поддельную страницу с логином Outlook Web Access, откуда данные также попадают к злоумышленникам.
После этого, FIN4 заходили в аккаунт жертвы и настраивали его так, чтобы письма со словами «хакеры», «фишинг», «взломан» и «вредоносный» автоматически удалялись. Они также вели с этих аккаунтов переписку, рассылая партнерам компаний зараженные письма и узнавая от них финансовую информацию о текущих сделках и другие чувствительные данные. FIN4 активно использует Tor, в частности, для того, чтобы анонимно подключаться через него к почтовым ящикам жертв.
Наиболее привлекательной для FIN4 является информация о слияниях и поглощениях, обнаружили в FireEye. Так, один раз жертвами хакеров стали сразу пять участников одной и той же сделки. Компания сконцентрировалась на медицинских технологиях и здравоохранении, так как именно на этом рынке цены на акции часто резко изменяются в связи с появлением информации о результатах клинических испытаний, судебных слушаний, страховых выплатах и так далее.
Какой именно ущерб был нанесен компаниям, в FireEye сказать затрудняются. Однако в компании отмечают, что коллектив FIN4 является одним из наиболее крупных и хорошо организованных. При этом простота используемых ими методов означает, что FIN4 тяжело обнаружить. В FireEye рекомендуют отключить показ VBA-макросов в настройках Microsoft Office, установить двухфакторную систему аутентификации и проверить сеть на подключения через OWA с известных выходных узлов Tor.
