آبان ۰۳
سما سمیعیان
دبیر خبر | ۲۴ مهر ۱۳۹۹

ترویج جرایم سایبری مالی از سوی گروه هکری FIN11

گروه هکری «FIN11» جرایم سایبری مالی را ترویج کرده است.

به گزارش کارگروه بین‌‎الملل سایبربان؛ محققان امنیتی یک گروه جدید و بسیار فعال در زمینه جرایم سایبری مالی را شناسایی کرده‌اند.

گستردگی دامنه فعالیت «FIN11» : براساس گزارش منتشر شده از «Mandiant»، شرکت امنیت سایبری آمریکایی، هدف این گروه هکری، دانشگاه‌ها، سازمان‌های دولتی و سازمان‌هایی در بخش‌های خدماتی، دارویی، حمل و نقل و تدارکات است. پیش از این در سال‌های 2017 و 2018، این گروه بر بخش‌های مالی، خرده‌فروشی و رستوران تمرکز داشت.

فعالیت‌های مرتبط با FIN11 برای اولین بار در سال 2016 نمایان شد، اما ماندیانت در حال حاضر عامل تهدید را در وضعیت فین (FIN) به عنوان اولین گروه تهدید مالی توصیف کرد که پس از 3 سال موفق به دریافت این عنوان شده است. یکی از دلایل پیشرفت این گروه، حرکت به سمت اخاذی ترکیبی است، یعنی ترکیب باج‌‎افزار با سرقت داده‌ها برای تحت فشار قرار دادن قربانیان و باج‌گیری مطالبات تا 10 میلیون دلار.

FIN11 چیست؟

به گفته ماندیانت، که اکنون بخشی از شرکت «FireEye» محسوب می‌شود، FIN11 پشت برخی از طولانی‌ترین و بزرگ‌ترین کمپین‌های بدافزاری است.

باند جرایم سایبری برای دستیابی به یک جایگاه در شبکه‌های سازمانی، اساساً به ایمیل‌های فیشینگ متکی است و با توزیع باج‌افزار «CLOP» به سمت اخاذی ترکیبی حرکت می‌کند.

در حالیکه این گروه به دلیل هدف قرار دادن سازمان‌ها در آمریکای شمالی بسیار شناخته شده است، اما ماندیانت اعلام کرد که حدود نیمی از سازمان‌های قربانی ذکر شده در وب‌سایت «CL0P^_-LEAKS» در آلمان مستقر هستند. سازمان‌هایی در انگلیس، هند، اتریش، اسپانیا و آلمان نیز هدف حمله قرار گرفته‌اند.

ماندیانت گفت که فریب‌هایی به زبان آلمانی و ایتالیایی را در حملات FIN11 پیدا کرده است. ژنویو استارک (Genevieve Stark )، تحلیلگر اطلاعات تهدید ماندیانت (Mandiant Threat Intelligence)، در گفتگو با وبگاه تخصصی « The Daily Swig » توضیح داد که شرکت معتقد است که این گروه در کشورهای مستقل مشترک‌المنافع (CIS) و بر اساس فراداده روسی زبان در پرونده‌های خود، کاهش قابل توجه فعالیت در برخی از تعطیلات روسیه و استفاده از ابزارها و خدمات تبلیغ شده در انجمن‌های زیرزمین روسی زبان مستقر است.

استارک افزود :

«این گروه همچنین باج‎افزار CLOP را مستقر كرده كه سیستم‌های شناسایی شده برای استفاده از مجموعه نویسه‌های روسی و صفحه‌بندی‌ها در کشورهای مستقل مشترک‌المنافع را رمزگذاری نمی‌کند. این تکنیک اغلب به‎‌وسیله مجرمان سایبری در کشورهای مستقل مشترک‌المنافع استفاده می‌شود، زیرا دولت روسیه معمولاً عوامل را که این کشورها را هدف قرار نمی‌دهند، نادیده می‌گیرد.»

به گفته استارک، Mandiant هیچ مدرکی برای اثبات حمایت مستقیم یا غیرمستقیم FIN11 از نهادهای دولتی ندارد. FIN11 سازمان‌‎هایی را در بخش‌ها و مناطق مختلف هدف قرار داده است که فقط برخی از آنها مورد توجه مقامات اطلاعاتی قرار می‌گیرند. با این وجود قابل قبول است که FIN11 به عنوان انگیزه‌ای برای چشم‌پوشی از فعالیت مجرمانه خود، غرامت پولی یا داده‌های قربانی را به مقامات دولتی بدهد.

تاکتیک‌های FIN11

Mandiant خانواده‌های کد متفاوتی را کشف کرد که به اعتقاد آنها منحصر به FIN11 است : «FlawedAmmyy»، «FRIENDSPEAK» و «MIXLABEL». این کدها همچنین با «TA505»، مجموعه فعالیت جرایم سایبری همپوشانی دارند، اگرچه تمام حملات TA505 به FIN11 مرتبط نیستند.

این گروه از پرونده‌های مخرب مایکروسافت آفیس برای ارائه فریب‌های مالی متعارف از جمله سفارش فروش، صورتحساب بانکی و فاکتور استفاده می‌کند، اما اخیراً شرکت‌های دارویی را هم با فریب از جمله گزارش تحقیق و حتی تصادف آزمایشگاهی هدف قرار داده است. اسناد بارگیری کننده «FRIENDSPEAK» را ارائه می‌دهند که به نوبه خود پشتیبان «MIXLABEL» را مستقر کرده است.

محققان ماندیانت هشدار دادند که FIN11 به‌سرعت «TTPs» خود را توسعه می‌دهد. بیشترین نگرانی، اقدام به زورگیری ترکیبی است، زیرا به نظر می‌رسد FIN11 از حملات خود درآمدزایی می‌کند. با استفاده از MIXLABEL و FlawedAmmyy این گروه هکری از «SALTLICK» برای غیرفعال کردن «Windows Defender» و از «NAILGUN» برای استقرار بدافزار CLOP استفاده می‌کند. حداقل یکی از سازمان‌های تحت تأثیر CLOP گزارش داد که پس از بازیابی اطلاعات پشتیبان، مجدداً آلوده شده است.

جرمی کِنِلی (Jeremy Kennelly)، مدیر تحلیل در ماندیانت معتقد است که هر گروه FIN ردیابی شده به‌وسیله Mandiant Intelligence، از تاکتیک‌ها، تکنیک‌ها و رویه‌های منحصر به فردی (TTP) استفاده و درنتیجه امکان ردیابی را فراهم می‌کند. به عنوان مثال، « FIN7» یک گروه تهدید است که در طول تاریخ تقریباً منحصراً بر سرقت داده‌های کارت پرداخت از سازمان‌های خرده‌فروشی و مهمان نوازی مستقر در ایالات متحده متمرکز بوده است. برعکس، FIN11 سازمان‌ها را به‌طور گسترده‌تری هم در مناطق جغرافیایی و هم در صنایع مورد هدف قرار داده است و از مجموعه بدافزارهای گسترده‌تر و متنوع‌تری در عملیات خود استفاده می‌کند و به نظر می‌رسد در عملیات‌های اخیر بر نفوذ مالی از طریق توزیع بدافزار پس از مصالحه متمرکز شده است.

نحوه موفقیت FIN11 و نگرانی مدیران ارشد امنیت اطلاعات

 استارک در این زمینه گفت که ارزیابی میزان موفقیت FIN11 دشوار است، زیرا قربانیان باج‌افزار اغلب تصمیم می‌گیرند سازش یا پرداخت‌های بعدی باج را فاش نکنند. با این حال، گروه هکری نبود، باج‌افزار و اخاذی سرقت داده را به عنوان روش اصلی درآمدزایی در نظر نمی‌گرفت. از سال 20187 چندین گروه تهدید شناسایی شده‌اند که به استقرار باج‌افزار پس از مصالحه روی آوردند.

وی ادامه داد :

«در عین حال، تقاضای باج به شدت افزایش یافته است. در ماه اکتبر سال 2020 آنها بیش از 20 میلیون دلار از یک شرکت فناوری آلمانی طلب کردند. در حالیکه ما فرصت تجزیه و تحلیل جزئیات فنی این حملات را نداشتیم، اما همه نفوذهای مربوط به CLOP، که ماندیانت واکنش نشان داده، به FIN11 نسبت داده شده‌اند.»

به گفته پائولو پاسری (Paolo Passeri )، مدیر اطلاعات سایبری در  «Netskope»، ارائه دهنده امنیت ابری، با شیوع بیماری کووید-19 حملات افزایش یافته‌اند. وی اعلام کرد که حتی گروه‌های با انگیزه مالی هم اكنون روی حملات باج‌افزاری نفوذ با زورگیری بیشتر تمركز كرده‌اند. متأسفانه وضعیت همه‌گیری کنونی این حملات را تسهیل می‌کند، زیرا تغییر ناگهانی به سمت دورکاری از سوی بسیاری از سازمان‌ها اثر جانبی افشای خدمات محافظت نشده (مانند RDP) و سرویس‌های ابری با پیکربندی اشتباه، مورد علاقه مهاجمان برای بهره‌برداری، را به همراه دارد.

پاسری توضیح داد که این کشف جدید به‌وسیله FireEye میراث ناپسند گروه‌های FIN را ادامه می‌دهد. این واقعیت که یک گروه FIN اکنون روی حملات باج‌افزاری هدفمند تمرکز کرده، نشان دهنده میزان سودآور بودن این تجارت برای مجرمان سایبری است.

مقابله با تهدیدات FIN

الیوت رُز (Elliot Rose)، رئیس امنیت سایبری در «PA Consulting» گفت که تعیین گروه جدید FIN روند رو به رشد را ادامه می‌دهد. در سال 2018، به دنبال تعدادی از دستگیری‌ها در پرونده FIN7، به نظر می‌رسید که تهدید با این دیدگاه، که روش‌ها با دیگران یا شبکه‌ها به اشتراک گذاشته شده، بسیار گسترده‌تر از حد تصور است.

گروه‌های تهدید FIN، از آنجایی که به‌طور معمول پیچیده‌تر هستند و پاسخ متفاوتی را از تیم‌های امنیتی می‌خواهند، از گروه‌های «APT» متمایز هستند. رُز خاطرنشان کرد که آنها تمایل دارند قربانیان خود را از طریق تجزیه و تحلیل و اسپیر فیشینگ مرتبط، که منجر به نقض جدی اطلاعات شده است، هدف قرار دهند و از طریق شرکت‌های جعلی بی‌گناهان را به عنوان آزمایش کنندگان و توسعه دهندگان قلم ثبت نام می‌کنند تا به آنها در زمینه جنایی کمک کنند.

به گفته رُز، این بدان معنی است که آموزش کارمندان در کنار فناوری در مقابله با تهدیدها نقشی اساسی دارد. باید به آنها گفت که بسیار مراقب آنچه در شبکه‌های اجتماعی می‌گذارند، باشند یا از کلیک کردن روی پیوندهای ایمیل یا افشای اطلاعات برای هر کسی که مطمئن نیستند، خودداری کنند. فکر کردن قبل از کلیک، یک دفاع کلیدی است!

انگیزه‌های گروه‌های FIN نیز اساساً متفاوت است.

رُز اظهار داشت :

«حملات دولتی برای ایجاد اختلال یا سرقت آی‌پی و انگیزه این گروه‌ها سود مالی است. این واقعیت که بسیاری از کشورهای مستقل مشترک‌المنافع کار می‌کنند، بر نیاز به سطح قابل توجهی از همکاری‌های بین‌المللی در اجرای قانون تأکید دارد.»

منبع: سایبربان

نظرات