Российская кибергруппировка подбрасывает зараженные флешки военным предприятиям США
По сообщениям ФБР, криминальная группировка FIN7 начала от имени Amazon и министерства здравоохранения США рассылать USB-накопители с вредоносным ПО. Подобные трюки группировка проворачивает не впервые.
Хорошая флешка, надо брать
Кибергруппировка FIN7 рассылает по оборонным компаниям США почтовые отправления, содержащие USB-накопители с шифровальщиками, сообщает ФБР.
Злоумышленники используют крупнейшие почтовые службы США USPS и UPS, указывая в качестве отправителей Amazon и Министерство здравоохранения и социальных служб США. Кампания идет уже несколько месяцев: ФБР получает сообщения о ней с августа 2021 г.
В посылках злоумышленников содержатся материалы с рекомендациями по противодействию COVID-19, фальшивые подарочные карты или подделанные благодарственные письма, в зависимости от того, от чьего имени они отправлялись.
Если жертвы имели неосторожность подключить непроверенный flash-накопитель, то начиналась атака. Сам накопитель регистрировался в системе как HID-клавиатура, с которой автоматически вводились команды на установку вредоносных компонентов в скомпрометированные системы. Конечной целью этих команд было получение доступа ко всей локальной сети и установка в нее шифровальщиков везде, где только можно.
Для компрометации сети используется широкий набор инструментов, в том числе, Metasploit, CobaltStrike, Carbanak, бэкдор Griffon и скрипты PowerShell. В конечном счете жертвам устанавливались такие шифровальщики-вымогатели как BlackMatter и REvil.
Группировка FIN7 уже не в первый раз проводит подобные кампании. В начале 2020 г. те же злоумышленники распространяли подобные посылки от имени торговой сети BestBuy, специализирующейся на бытовой электронике. Зараженные флешки рассылались отелям, ресторанам и торговым сетям. В некоторых случаях жертвы получали от злоумышленников звонки или сообщения по электронной почте с призывами поскорее подключить накопители к своим системам.
С мая 2020 г. FIN7 начали добавлять в свои посылки игрушечных медведей, очевидно, чтобы отвести подозрения.
«Защитить корпоративную инфраструктуру от подобных атак можно несколькими способами, — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Самый “драконовский” — полностью заблокировать использование USB-портов на конечных точках, так чтобы можно было использовать только мышь. Второй вариант — задать политику, при которой обмен информацией возможен только со съемными накопителями из “белого” списка по их аппаратным идентификаторам, либо с предварительной проверкой каждой новой флешки службой безопасности. Но все это может не сработать, если сотрудники компании используют личные устройства и подключаются с них к внутренним ресурсам компании. Для таких случаев должны существовать соответствующие политики безопасности, позволяющие исключить попадание нежелательного ПО с пользовательских устройств в корпоративную сеть».
FIN7, CombiSecurity и четыре ареста
FIN7 считается российской киберкриминальной группировкой, одной из самых успешных в мире. Большинство ее жертв — это крупные коммерческие структуры в США.
В 2018 г. в Дрездене был задержан и позднее экстрадирован в США некто Федор Гладырь, гражданин Украины. В обвинительном заключении он был назван одним из руководителей FIN7, принимавшим самое непосредственное участие в ее атаках. В 2019 г. Гладырь пошел на сделку со следствием и частично признал вину, а в 2021 г. был осужден судом Вашингтона на 10 лет тюремного заключения.
Членом группировки Гладырь стал после того, как устроился на должность системного администратора в компанию CombiSecurity, которая позиционировалась как фирма, специализирующаяся на информационной безопасности с головным офисом в Москве. На деле же эта компания была не более чем фасадом, прикрывавшим киберпреступные операции FIN7 и использовавшимся для найма новых членов группировки.
На сайте SuperJob еще можно найти объявления этой компании, датированные 2017 г.
Кроме Гладыря, в 2018 г. в Польше и Испании были задержаны двое других предполагаемых участника FIN7, также являющиеся гражданами Украины: Дмитрий Федоров и Андрей Колпаков. Оба были экстрадированы в США.
Летом 2021 г. Колпаков был приговорен к семи годам тюрьмы; он также признал вину. Его защита утверждала, что он не занимал в FIN7 руководящих позиций, а просто оказался «загнанным в угол» после того, как «случайно» стал участником группировки. По всей видимости, он также устраивался на работу в CombiSecurity.
Что касается Федорова, то он, по-видимому, до сих пор находится в Польше и ожидает экстрадиции в США.
В материалах министерства юстиции США упоминается дело против еще одного предполагаемого участника FIN7, Дениса Ярмака, также гражданина Украины. Его арестовали в 2020 г. по запросу США в Таиланде. Суд над ним начался в конце июля 2020 г., но продолжится только в сентябре 2022 г.
Таким образом, в руках американского правосудия оказались четверо участников FIN7, двое из которых уже получили сроки, однако своей активности группировка не снижает.