Yeni araştırmalar, kötü şöhretli siber suç grubu FIN7’nin, birkaç yıl süren ve birden çok bölge ve sektördeki kuruluşları hedef alan, daha önce ilişkilendirilmemiş çok sayıda tehdit faaliyeti kümesinin arkasında olduğunu gösteriyor.
Mandiant tarafından yapılan araştırma, tehdit aktörünün çoğunlukla perakende ve konaklama sektörlerini hedeflemekten, öncekinden çok daha geniş bir silah yelpazesi kullanan çok daha geniş bir endüstri yelpazesindeki kuruluşları hedeflemeye geçtiğini gösteriyor.
Bu süreçte, FIN7’nin motivasyonları da, esas olarak ödeme kartı verilerini çalmaktan fidye yazılımı, fidye yazılımı etkinleştirme operasyonları ve çifte gasp saldırılarına kadar gelişti. FIN7 ayrıca yeni saldırı araçları tanıttı ve hedef ağlarda ilk erişim elde etmek için orijinal kimlik avı tekniklerine ek olarak tedarik zinciri saldırılarını ve çalınan kimlik bilgilerini kullanmaya başladı.
Bu haftaki bir raporda, Mandiant’tan araştırmacılar, FIN7’yi sekiz ayrı tehdit etkinliği kümesine güvenilir bir şekilde bağlayın Yazılım, danışmanlık, bulut hizmetleri, finansal hizmetler, kamu hizmetleri, yiyecek ve içecek ve diğer sektörlerdeki kuruluşları hedef alan en az 2020’ye geri dönelim. Araştırmacılar, 2020’den beri müşteri konumlarında FIN7’ye atfedilebilecek bir düzine izinsiz giriş bulduğunu söyledi. Yetkili araştırmacılar, saldırgan altyapısı, izinsiz giriş yöntemleri, kötü amaçlı yazılım kodu ve farklı tehdit etkinliği kümeleriyle ilişkili çalışma biçimiyle ilgili verileri analiz ettikten sonra bu sonuçlara vardı.
Bu analiz, Mandiant’ın daha önce ilişkilendirilmemiş 17 tehdit etkinliği kümesini güvenilir bir şekilde FIN17’ye bağlamasına yol açtı. Mandiant’ın teknik analisti Zander Work, şu anda mevcut kanıtların tehdit aktörünün yaklaşık iki düzine başka tehdit kümesine bağlı olduğuna işaret ettiğini, ancak bu bağlantıları güvenilir bir şekilde doğrulayamadığını söylüyor.
Work, “Şu anda, farklı güven seviyelerine sahip 22 tehdit kümesinin FIN7 olduğundan şüpheleniyoruz” diyor. “Bunlar [threat clusters] mutlaka bağımsız tehdit aktörlerinin göstergesi değildir ve daha ziyade örtüşen TTP’lere dayalı olarak ilişkili olabilecek faaliyetleri temsil eder.”
inatçı ısrarcı
FIN7 (aka Carbanak Grubu ve Kobalt Grubu), diğer birçokları gibi, durdurmak için yapılan birçok çabaya rağmen inatla faaliyet göstermeye devam eden bir tehdit aktörüdür. Daha geçen hafta FBI, grubun ağlarına fidye yazılımları sokmak amacıyla savunma, sigorta ve ulaşım sektörlerindeki kuruluşlara silahlı USB flash sürücüler gönderdiği konusunda uyardı.
Daha önceki satıcı araştırmaları, grubun, en azından başlangıçta, milyonlarca çalıntı kredi kartı ve banka kartıyla ilgili verilerin satışından olmak üzere, 1,2 milyar dolardan fazla para çaldığını tahmin ediyordu. Grubun yüzlerce kurbanı arasında Saks Fifth Avenue, Chipotle Mexican Grill, Arby’s ve Hudson’s Bay Brands gibi tanınmış şirketler var. Grup ayrıca binlerce iş yerindeki binlerce satış noktası terminaline yapılan saldırılarla da bağlantılı.
2018’de FBI, biri daha sonra 10 yıl hapis cezasına çarptırılan üç kilit FIN7 üyesini tutukladı. Tutuklamalar, grubun her zamanki gibi çalışmasını, daha da büyümesini ve suç operasyonlarının diğer alanlarına yayılmasını engellemek için hiçbir şey yapmadı. Mandiant, grubun düzinelerce üyesi olduğunu ve faaliyetlerini 2018 tutuklamalarından önceki hacme yükselttiğini tahmin ediyor.
Work, “Tarihsel olarak, FIN7 izinsiz girişlerinden ödeme kartı hırsızlığı yoluyla para kazandı ve Mandiant bunların öncelikle ABD perakende ve konaklama şirketlerini hedeflediğini gözlemledi” diyor.
Çoğu durumda, grubun kurbanları ve saldırıları özellikle hedef alındı. Bununla birlikte, 2020’den başlayarak Mandiant, FIN7 kampanyalarının, bazı hedeflerinin fazla özen gösterilmeden seçildiği bir noktaya kadar genişlediğini gözlemledi. Work, “Fidye ödeyebilecek kadar büyük olduğu düşünülen herhangi bir kuruluşun ve FIN7 şüphelilerinin istenmeyen jeopolitik ilgiye neden olmayacağını varsaymak olası bir hedeftir,” diyor.
Gelişen Araç Takımı ve Taktikler
Grup geliştikçe, saldırı araç takımı ve ilk erişim teknikleri de gelişti. Örneğin, daha önce, örneğin, FIN7, hedef ağlarda Griffon veya Carbanak ve Loadout adlı kötü amaçlı yazılım indiricileri sunmak için büyük ölçüde kimlik avı kampanyalarına güveniyordu. Daha yakın zamanlarda, tehdit aktörü, ilk erişim elde etmek için çalınan kimlik bilgilerini ve üçüncü taraf siteler aracılığıyla yapılan saldırıları kullanıyor. Örneğin yakın tarihli bir saldırıda, FIN7 önce bir dijital ürün şirketinin web sitesinin güvenliğini ihlal etti ve sitedeki birden fazla indirme bağlantısını, meşru bir uzaktan yönetim aracının arka kapı sürümünü içeren bir Amazon S3 kovasına işaret edecek şekilde değiştirdi.
FIN7, Loadout ve Griffon’u kullanmak yerine, giderek artan bir şekilde kötü amaçlı yazılımını doğrudan kurbanın ağına yerleştirmeye çalışıyor. Grubun son zamanlarda özellikle kullandığı iki araç, modüler, çok işlevli bir arka kapı olan Powerplant ve FIN7’nin Powerplant ile birlikte güvenliği ihlal edilmiş ağlarda ikincil bir erişim modu olarak kullandığı Beacon’dur.
Mandiant’ta mali suç analizi kıdemli yöneticisi Jeremy Kennelly, FIN7’nin ödeme kartı veri hırsızlığından fidye yazılımı operasyonlarına geçişinin, şu anda neden olduğu hasarı değerlendirmeyi çok daha zor hale getirdiğini söylüyor. “Fidye yazılımı izinsiz girişlerinden kaynaklanan hasar, ödenen fidyelerin çok ötesine geçiyor; kurtarma çabaları önemli ölçüde daha pahalıya mal olabilir ve kolayca hesaplanamayan iş veya marka zararlarına yol açabilir” diyor.
Kennelly, belirli sayılara bakılmaksızın, grubun değişen hedeflerinin kurbanlarına ve operasyonlarını etkinleştirdikleri diğer suçluların kurbanlarına neredeyse kesinlikle önemli mali kayıplara neden olduğunu söylüyor.
Mandiant’ta kıdemli analist olan Bryce Abdo, FIN7’nin diğer gruplara göre üstünlüğünün araçları, ticari ustalığı ve kaçamaklığı olduğunu söylüyor. Grubun kullandığı Powerplant ve Diceloader adlı başka bir araç gibi arka kapılar karmaşık ve sofistike, diyor. Grup ayrıca, altyapı güçlendirme ve karmaşık şaşırtma teknikleri gibi önlemlerle güvenlik araştırmacılarının operasyonları hakkında toplayabilecekleri istihbaratı sınırlandırma becerisini de gösterdi.
Abdo, “FIN7’nin ileriye giden yolu, büyük olasılıkla, çalıntı verileri kaldıraç olarak kullanan gasp ile bağlantılı olarak fidye yazılımı operatörleri ve bağlı kuruluşlarla olan ilişkilerin bir kombinasyonudur” diyor ve ekliyor: “Bu değerlendirme, geçmişte FIN7 ile olan ilişkilere dayanmaktadır. [ransomware groups] Fidye yazılımı dağıtımından önceki ikili veri hırsızlığı tehdidinin yaygın olduğu Maze, DarkSide ve ALPHV.”