Что такое Fin7: хакерская группировка «на миллиард долларов», в составе которой есть и украинцы

Fifth Avenue, Saks Off 5th, Lord & Taylor — все эти магазины, приобретенные The Hudson’s Bay Company, недавно узнали об утечке пользовательских данных. Хакеры заполучили 5 млн номеров кредитных карточек. И виновники у этого преступления те же, что атаковали отели Omni Hotels & Resorts, Trump Hotels, Jason’s Deli, универмаги Whole Foods, Chipotle и другие заведения. Если ваша карточка за последние годы тоже оказывалась в руках преступников, можно с уверенностью возложить ответственность на Fin7. 

Хотя большинство криминальных хакерских группировок беспорядочно зарабатывают деньги, Fin7 действуют слаженно и организованно. Группа, участников которой обычно идентифицируют как русскоговорящих, обычно работает по стандартному расписанию (с 9:00 до 18:00). Они создали собственные малварь-утилиты и даже стили атак. Судя по всему, у Fin7 существует хорошо обеспеченное исследовательское подразделение, которое помогает лучше избежать идентификации программ антивирусами. В случае утечки в Saks Off 5th группировка использовала «продажную» малварь — ПО было установлено в системе регистрации транзакций кассовых аппаратов, с которыми непосредственно взаимодействовали клиенты. Это их фирменный метод.

Начальник отдела технологий Gemini Advisory Дмитрий Чорин отмечает:

Из того, что мы о них узнали эти годы — они действуют как бизнес-предприятие. У них наверняка есть руководитель, менеджеры, отмыватели денег, разработчики софта, тестировщики. И не стоит забывать о финансовой мотивации оставаться в тени. Они зарабатывают как минимум $50 млн ежемесячно. Учитывая, сколько лет они в деле, на руках имеют не менее миллиарда долларов.

Все эти годы исследователи не спускают глаз со злоумышленников. Но ситуация осложняется тем, что иногда невозможно понять, являются ли атакующие частью группировки Fin7 или просто используют аналогичные приемы. В результате Fin7 известна под множество названий: Carbanak или Cobalt, Carbon Spider и Cobalt Spider, JokerStash. Все это или части единого образования или отделившиеся группировки. В то время как Fin7 традиционно ассоциируется с кражами кредиток в сфере ритейла и отельного бизнеса, Cobalt охотится за финансовыми организациями. В классификации специалистов по кибербезопасности из компании Crowdstrike, группа Carbon Spider атакует отели и ритейл, а Cobalt Spider бьет по банкам и банкоматам. Наконец, JokerStash — название черного маркетплейса, где продаются украденные номера кредиток.

Wired суммирует — тут царит полная неразбериха. Но хотя установить точную связь между исполнителями иногда сложно, зацепка есть. Между 2013 и 2015 годами все они использовали банковские трояны Carberp и Anunak при атаке на финансовые учреждения. Вице-президент CrowdStrike Адам Мейерс говорит:

Между Carbon Spider и Cobalt Spider наверняка существует связь. Есть пересечения по части использованного ПО и много теорий на этот счет. Возможно Carbon Spider откололись от Cobalt? У них общая база инструментов? Кто-то ушел из группы и прихватил с собой софт?

Но вне зависимости от имени, Fin7 работает профессионально. Группировке удается использовать изощренные фишинговые схемы, чтобы жертвы самостоятельно заражали свои рабочие сети. Исследователи говорят, что такой подход скорее напоминает государственную структуру, чем криминал. Наконец, Fin7 поразительно быстро адаптируется к новым обстоятельствам — прошлой осенью им понадобился день на создание малвари без установочного файла благодаря обнаруженной в приложениях Microsoft уязвимости. 

Еще одно доказательство профессионализма Fin7 приводит глава компании Icebrg. По его информации, одна из ключевых задач группировки — избежать обнаружения своих разработок антивирусами. Для этого проводится регулярное тестирование.

У них удивительная история пребывания на шаг впереди производителей антивирусов. Они постоянно тестируют собственный набор инструментов. Такой техники работы не ожидаешь от криминальной организации. Но это и правда просто максимальное увеличение прибыльности бизнеса. Ты не пытаешься опередить всех на 10 шагов, а держишься всего на шаг впереди. 

[…] Они не самые натренированные, не самые главные специалисты по безопасности в интернете, но они профессионалы. Их деятельность — приходить на работу с утра и воровать номера кредиток.»

До недавних пор Fin7 удавалось не раскрыть себя, но при таком масштабе операционной деятельности ошибки неизбежны. В конце марта испанская полиция в сотрудничестве с Европолом, ФБР и международными агентствами, арестовала группу хакеров из Украины и России, которых назвали «руководителями» атак с использованием трояна Carbanak. Задержанных обвиняют в краже $1,24 млрд.