Skupina FIN4 vdirala v podjetja zaradi notranjih informacij za trgovanje

Pri vseh novicah o vdorih v računalnike različnih podjetij in organizacij je bilo le vprašanje časa, kdaj bomo brali o vdoru, ki je imel bolj domiseln cilj kakor odnesti ter prodati številke kreditnih kartic. Domnevno severnokorejski vdor zaradi produkcije filma o ljubljenem vodji in kraja še neizdanih filmov sodi v kategorijo bizarno, vdor v podjetja z Wall Streeta in kraja notranjih informacij za špekuliranje z delnicami pa je dobro naštudiran in do potankosti izpiljen napad. FireEye sledi skupini FIN4, ki je vdrla v več kot sto ameriških podjetij prav s tem namenom.

Kot so zapisali v izčrpnem poročilu, so neznani napadalci tarče zelo dobro preučili. Vdirali niso z zlonamerno programsko opremo, temveč so s socialnim inženiringom. Pripravili so elektronska sporočila, ki jih je napisal materni govorec angleščine s poznavanjem poslovnega okolja in Wall Street, ki so jih tarče odprle. Zaradi okuženih priponk (največkrat so uporabljali makroje iz Visual Basic for Applications v sicer pristnih dokumentih) so izdale svoje prijavne podatke, hekerji pa so odprto točko dostopa izkoristili za pošiljanje novih sporočil, ki so delovala verodostojno, in so jim omogočila napad nadaljnjih žrtev. Z računalniki so komunicirali prek omrežja Tor. Pred uporabniki so se skrivali na več načinov, eden izmed bolj zanimivih je bila izdelava pravila v Outlooku za brisanje vseh sporočil z besedami hack, phishing, malware ipd., da sodelavci ne bi moglo opozoriti okuženega o vdoru.

Napadli so več kot 100 podjetij, izmed katerih je 68 odstotkov podjetij iz področij zdravstva in farmacije, 20 odstotkov pa svetovana na področju financ, združitev, prevzemov in pravnih zadeva. Vse razen treh kotirajo na NYSE ali Nasdaqu. Domnevajo, da so hekerji iskali informacije, ki bi jim omogočile napoved prihodnjega gibanja tečajev teh podjetij na borzi. Ni znano, ali so uspeli odnesti kaj vrednega in si s tem pritrgovati dobiček, so pa definitivno pridobili dostop do številnih podatkov. V vsaj enem primeru so imeli dostop do podjetja pred kasnejšim prevzemom. FIN4 je napade izvajal od srede lanskega leta dalje, primer pa sedaj preiskujejo tudi organi pregona.