揭秘：当黑客看上一个目标之后，通常会怎样采取行动？

编者按：日前，美国司法部发布了一份针对网络犯罪组织Fin7的起诉书，通过被逮捕的三名内部人士透露出来的信息，概述了该组织的运作方式。《连线》杂志网站就此事进行了报道，原文标题为“THE WILD INNER WORKINGS OF A BILLION-DOLLAR HACKING GROUP”，作者为 布莱恩·巴雷特 （BRIAN BARRETT）。

图片来源：GETTY IMAGES

据估计，Fin7黑客组织已经从世界各地的公司中窃取了超过10亿美元。仅在美国，Fin7就从3600多个商家窃取了超过1500万个信用卡号码。上周三，美国司法部透露，它逮捕了三名据称是该组织成员的人——更重要的是，他们详细说明了该组织的运作方式。

起诉书称，这三名乌克兰人——德米特罗·费德罗夫（Dmytro Fedorov）、费迪尔·赫拉迪尔（Fedir Hladyr）和安德里·科扎科夫（Andrii Kopakov）——是Fin7的成员，为这个世界上最复杂、最具侵略性、最有经济动机的黑客组织之一长达数年的统治做出了贡献。每一个人都被指控犯有26项重罪，从阴谋诈骗到计算机黑客攻击，再到盗窃身份。

据称，他们三人在Fin7中担任了重要角色：赫拉迪尔是系统管理员，费德罗夫和科扎科夫是黑客组织的监督者。尽管自从他们被逮捕以来，Fin7一直在继续运作——赫拉迪尔和费德罗夫在1月份被逮捕，科扎科夫在6月份——这些逮捕标志着执法部门首次战胜了阴暗的网络犯罪帝国。

“调查还在继续。我们并没有幻想我们已经把这个群体完全击垮了。但是我们已经取得了成果，”美国律师安妮特·海耶斯（Annette Hayes）在宣布起诉书的新闻发布会上说。“这些黑客认为他们可以躲在遥远的地方的键盘后面逃避美国法律。我在这里告诉大家，我认为这个声明说得很清楚，他们是不可能一直逍遥法外的。”

美国司法部的声明，以及 FireEye 安全公司的一份新报告，给我们了解 Fin7如何运作、在什么层面上运作提供了前所未有的洞察力。 “他们使用的许多技术，通常都是国家资助的攻击者使用的。”FireEye 的威胁分析师、 Fin7报告的合著者巴里·文格里克(Barry Vengerik)表示。“他们使用的技术的复杂程度，在经济动机趋势下的黑客身上并不多见。”

钓鱼邮件

大约在去年3月27日左右，Red Robin Gourmet Burgers and Brews的一名员工收到了来自 ray.donovan 84@yahoo.com 的电子邮件。 邮件中向他抱怨了最近的一次经历，并敦促收件人打开附件以获得更多细节。 这名员工照做了。 几天之内，Fin7就绘制出了 Red Robin 的内部网络构造图。不到一周，它就获得了这家餐厅销售点软件管理 工具 的用户名和密码。 据美国司法部称，在两周内，一名 Fin7成员上传了一份文件，其中包含了798个Red Robin门店的数百个用户名和密码，还有“网络信息、电话通讯以及餐馆内警报板的位置”。

在指控Fin7公司的起诉书中，除了Red Robin之外还有9起其他事件，每起事件都遵循大致相同的剧本。 它从一封电子邮件开始。 它看起来很正常：比方说，一个酒店的预订查询，或者接到餐饮公司的订单。 它甚至不一定有附件。 只是另一个客户在问一个问题或想要了解自己关心的事情。

然后，无论是在第一次、还是在来回发送了几封电子邮件之后，都会有这样的请求：请查看附件中的Word doc或文本文件，它包含了所有的相关信息。如果你没有打开它——或者甚至在你收到它之前——会有人给你打电话，提醒你。

“当瞄准一家连锁酒店或连锁餐馆时，共谋者会打一个后续电话，谎称预订请求、餐饮订单或顾客投诉的细节可以在之前发送的电子邮件附件中找到，”起诉书中称。

FireEye提到一个目标餐馆，收到了“预定进行的检查和检查清单”，邮件的抬头是FDA。发送给目标酒店的电子邮件可能声称，附件中包含有人把包留在房间里的照片。方法各不相同。虽然“不要打开陌生人的附件”是不被钓鱼的第一条规则，但Fin7针对的组织需要在正常的业务过程中严防这一点。

“嗨，我叫詹姆斯·安里尔（James Anhril），我想预订明天上午11点的外卖。附件中包含订单和我的个人信息。点击页面顶部的编辑，然后双击解锁内容，”司法部发布的一封钓鱼邮件示例中写道。每条消息不仅是针对特定业务定制的，而且通常由提出这种请求的个人直接发送。FireEye说，在一个案例中，Fin7甚至填写了零售商的网络表格来提出投诉。

图片来源：FBI

就像人们可能假设的那样，当目标按下鼠标时，恶意软件就会下载到他们的机器上。具体来说，Fin7用定制版的Carbanak攻击他们，这是几年前在一系列针对银行的攻击中首次出现的。根据起诉书，黑客会把受到攻击的机器放在僵尸网络中，通过其指挥和控制中心，他们可以将文件泄露出去，在与受害者同一个网络上侵入其他电脑，甚至捕捉工作站的截图和视频来窃取凭据和其他可能有价值的信息。

最重要的是，Fin7通常是通过攻击Chipotle、Chili和Arby等公司销售点的硬件，然后窃取了信用卡的数据。 据称，该集团窃取了数百万张信用卡数据，并随后在黑市网站上出售，比如 Joker's Stash。

“如果我们谈论的是规模，或者是受到影响的受害者组织的数量，它肯定是最大的，”文格里克说。但是，比这个组织的影响范围更令人印象深刻的可能是它的复杂程度。

下一阶段

起诉书中最惊人的细节，不是Fin7持续进行的黑客攻击的结果，而是他们为了达到和隐藏它而付出的努力。

“FIN7利用一家名为Combi Security公司当作幌子，总部设在俄罗斯和以色列，提供合法性，并招募黑客加入犯罪企业，”美国司法部在一份新闻稿中写道。“具有讽刺意味的是，这家公司在网站上，把许多美国的受害企业列成了客户。"

根据该网页的一个存档版本，该网站至少从3月份起就被列为待售网站。尚不清楚的是，Combi Security招募的计算机 程序员 是否意识到他们的活动是在什么层次上。毕竟，行业标准的渗透测试看起来很像黑客攻击，只不过得到了目标公司的支持。“他们会经历最初的妥协和不同的阶段，也可能不知道他们入侵的真正目的，”FireEye的高级经理、该公司最新Fin7报告的合著者尼克·卡尔（Nick Carr）说。

起诉书还进一步概述了 Fin7的组织结构和相关活动。 成员们通常会通过一个私人的 HipChat 服务器和许多私人的 HipChat 房间进行交流，他们会“在处理恶意软件和入侵受害者业务方面进行合作”，以及共享盗取的信用卡数据。 据称他们利用了另一个 Atlassian 项目Jira，用于项目管理，跟踪入侵的细节、网络的地图和盗取的数据。

虽然还不清楚Fin7有多少人——起诉书称“有数十名拥有不同技能的成员”——但它的组织能力相当于或超过了许多公司。而且它的黑客技术通常不输于有组织的国家行动。

“我们积极应对网络中的入侵，调查过去的活动，同时看到他们发明新的技术，”卡尔说。“发明自己的技术，这只是下一个层次。”

这些技术的范围从一种新形式的命令行到一种新的持久访问方法。最重要的是，Fin7似乎能够在日常生活中改变其方法——并且能够在适当的时候调整其目标，轻松地将目标从银行转移到酒店和餐馆。美国司法部的起诉书称，黑客最近将目标对准了处理证券交易委员会文件的公司员工，这显然是为了更深入地了解市场动态的情报。

FireEye表示，它已经看到该集团将重点转移到欧洲和中亚的金融机构客户。尽管美国司法部对此事有了新的关注，但仍然只有那么多的可见度。

逮捕三个人，虽然并不会阻止如此复杂或广泛的行动。但是，对该组织技术的深入研究，至少可以帮助未来的受害者避开Fin7的袭击。

原文链接： https://www.wired.com/story/fin7-wild-inner-workings-billion-dollar-hacking-group/

编译组出品。编辑：郝鹏程