Ну, эти жулики уже не наши
12 Августа 2015

• Версия для печати

Власти США во вторник предъявили обвинения в мошенничестве группе биржевых трейдеров и компьютерных хакеров. Обвиняемые, как утверждается, проникали в компьютерные системы новостных агентств, публикующих сведения о сделках слияния и поглощения, добывали конфиденциальную информацию о еще не объявленных сделках, а затем использовали эту информацию на торгах, незаконно наживая десятки миллионов долларов.

Эксперты по вопросам компьютерной безопасности из компании FireEye сообщили об обнаружении группы хакеров, специализирующихся на кибершпионаже. Группа, названная исследователями FIN4, занимается взломом почтовых ящиков руководства компании и использует полученные данные для игры на бирже, сообщает компания в отчете.

По данным FireEye. Жертвами FIN4 стали более 100 компаний, в основном связанных со сферой здравоохранения и биотехнологий, акции которых торгуются на NYSE и NASDAQ. Большинство компаний являются американскими. Вычислив жертву в руководящем составе компании, FIN4 высылают ей письмо с прикрепленным в ней документом Office. Каждое письмо составляется таким образом, чтобы жертва приняла его за подлинное — тексты письма написаны на грамотном английском языке человеком, знакомым с терминологией инвестиционных рынков и осведомленным во внутренних делах компаний. Вложенный документ содержит VBA-макросы, которые имитируют всплывающее окно, похожее на всплывающее окно Windows, требующее от пользователя подтверждения аутентификации (и повторного введения логина и пароля). Таким образом эти данные попадают на контролируемый злоумышленниками сервер.В ряде случаев FIN4 представляют клиентом компании, обеспокоенном возможным разглашением корпоративных данных на форуме. В письмо приложена ссылка, которая перенаправляет пользователя на поддельную страницу с логином Outlook Web Access, откуда данные также попадают к злоумышленникам.

После этого, FIN4 заходили в аккаунт жертвы и настраивали его так, чтобы письма со словами «хакеры», «фишинг», «взломан» и «вредоносный» автоматически удалялись. Они также вели с этих аккаунтов переписку, рассылая партнерам компаний зараженные письма и узнавая от них финансовую информацию о текущих сделках и другие чувствительные данные. FIN4 активно использует Tor, в частности, для того, чтобы анонимно подключаться через него к почтовым ящикам жертв.

Наиболее привлекательной для FIN4 является информация о слияниях и поглощениях, обнаружили в FireEye. Так, один раз жертвами хакеров стали сразу пять участников одной и той же сделки. Компания сконцентрировалась на медицинских технологиях и здравоохранении, так как именно на этом рынке цены на акции часто резко изменяются в связи с появлением информации о результатах клинических испытаний, судебных слушаний, страховых выплатах и так далее.

Какой именно ущерб был нанесен компаниям, в FireEye сказать затрудняются. Однако в компании отмечают, что коллектив FIN4 является одним из наиболее крупных и хорошо организованных. При этом простота используемых ими методов означает, что FIN4 тяжело обнаружить. В FireEye рекомендуют отключить показ VBA-макросов в настройках Microsoft Office, установить двухфакторную систему аутентификации и проверить сеть на подключения через OWA с известных выходных узлов Tor.

РБК