Wenn es um staatlich gesponsorte Hacker-Angriffe geht, zeigt man gerne mit dem Finger auf Russland und auch auf China. Doch die kriminellsten Hacker-Kollektive sind in der Ukraine.

Von Alex Kimani / SafeHaven.com

Wenn Sie von staatlich geförderter Cyberkriminalität hören, werden Sie wahrscheinlich Bilder von Cyberkriminellen heraufbeschwören, die mit der russischen Regierung in Verbindung stehen Systeme überlisten und infizieren und Berge von Staatsdaten stehlen.

Nun, das ist ziemlich repräsentativ für Ihren durchschnittlichen staatlich gesponserten Hack, nur dass der neueste und größte Hacking-Ring von normalen Ukrainern betrieben wird und hochentwickelte staatlich finanzierte Techniken verwendet, die hauptsächlich auf amerikanische Unternehmen und Unternehmen abzielen.

Größte Hacker-Organisation

Treffen Sie die Fin7-Hacking-Gruppe, den teuersten Cyberkriminalitätsring der Stadt. Die Gruppe hat sich einen Namen als eine der ausgeklügeltsten und aggressivsten Hacker-Organisationen der Welt gemacht, angeblich eine Milliarde Dollar von Unternehmen in Amerika und der ganzen Welt erbeutet.

Fin 7, alias Carbanak Group, hat in seiner jahrelangen Operation mehr als 15.000 Kreditkartendaten von mindestens 3.600 Unternehmen auf der ganzen Welt gestohlen. Das US-Justizministerium hat bereits drei ukrainische Staatsbürger wegen ihrer Beteiligung angeklagt und ihnen jeweils 26 Anklagepunkte, darunter Verschwörung, Hacking und Betrug, zur Last gelegt.

Die drei Männer, Dmytro Fedorov (44), Fedir Hladyr (33) und Andrii Kopakov (30), waren hochrangige Aktivisten im Untergrundimperium als Administrator bzw. Gruppenleiter. Aber machen Sie keinen Fehler: Fin 7 setzt seine heimtückischen Operationen auch mit den drei fest hinter Gittern sitzenden Mitgliedern fort.

Hochentwickelte Techniken

Barry Vengerik, Bedrohungsanalytiker bei FireEye Inc. und Co-Autor des Fin7-Berichts, war überrascht von der ausgeklügelten Technik der Gruppe, die größtenteils mit staatlich geförderten Hacks und nicht mit einer durchschnittlichen finanziell motivierten Cyberkriminalität verbunden ist. Es ist eine Verschwörung, die selbst den härtesten Detektiv beeindrucken würde.

Nehmen wir den Fall eines ungenannten Mitarbeiters bei einem Red Robin Gourmet Burgers and Brews. Eines Tages erhielt dieser Mitarbeiter eine E-Mail von ray.donovan84@yahoo.com, die aussah wie eine normale E-Mail von einem verärgerten Kunden, der über eine schlechte Erfahrung im Hotel sprach.

Die E-Mail forderte den Empfänger auf, einen bestimmten Anhang für weitere Details zu öffnen. Leider stürzte sich der Angestellte auf die List und öffnete die Anlage, wodurch er unwissentlich Fin 7 Zugang zum Netz gewährte.

Innerhalb weniger Tage hatten die Hacker das interne Netzwerk des Hotels kartiert. Innerhalb einer Woche hatten sie den Benutzernamen und das Passwort für das Point-of-Sale-System des Hotels gestohlen. Innerhalb von zwei Wochen hat ein Fin 7-Mitglied eine Datei hochgeladen, die Benutzernamen und Passwörter für fast 800 Red Robin-Standorte enthält, einschließlich Details zum Standort von Alarmzentralen in einzelnen Restaurants. So gründlich ist Fin 7.

Die Fin7-Anklageschrift besagt, dass es mindestens neun weitere Hacks gibt, die Red Robins genauem Spielbuch aus unerbittlichen Telefonanrufen und dem Bauchweh folgen.

Die erste E-Mail-Runde sah normalerweise harmlos aus; nur ein alltäglicher Kunde, der sich mit einer Frage oder einem Anliegen befasst. Aber später kommt eine E-Mail mit einem einfachen Word-Dokument oder Rich-Text-Datei als Anhang mit relevanten Informationen durch den Kunden. Haben Sie vergessen, den Anhang zu öffnen? Kein Problem, ein Fin 7-Agent wird Sie anrufen, um Sie daran zu erinnern. Der E-Mail-Pfad könnte etwa so aussehen:

Fin7

Aber vielleicht beweist nichts die bloße Professionalität dieser Jungs, wie die Länge, die sie bereit zu gehen waren, um ihre Ziele zu erreichen und später ihre Spuren zu verwischen. Zum Beispiel benutzte Fin7 eine Frontfirma namens Combi Security, die angeblich ihren Hauptsitz in Israel und Russland hat (dieses musste einfach da sein, damit die Verschwörung komplett ist). Die Website wurde seit März, wahrscheinlich nachdem sie ihren Zweck erfüllt hat, zum Verkauf angeboten.

Die Mitglieder kommunizieren häufig über einen privaten HipChat-Server in zahlreichen privaten Chatrooms und kooperieren bei der Erstellung von Malware und den Angriffen auf Opfer.

Jira, ein weiteres Atlassian-Programm, wurde für das Projektmanagement verwendet, einschließlich der Verfolgung gestohlener Daten und Netzwerkkarten. Es ist ein Ring mit Dutzenden von Mitgliedern mit unterschiedlichen Fähigkeiten, und die meisten lauern immer noch irgendwo da draußen.

Ok, aber was haben diese Leute mit all den gestohlenen Geschäftsdaten gemacht? Ganz einfach: Millionen von gestohlenen Kartennummern wurden auf Schwarzmarkt-Websites wie Joker's Stash verkauft.

Kurz gesagt, die Horror Show hat gerade begonnen.

2 KOMMENTARE

HINTERLASSEN SIE EINE ANTWORT

Please enter your comment!
Please enter your name here