Resim: Brina Blum
Federal Soruşturma Bürosu (FBI), yakın zamanda güncellenen bir flaş uyarıda ABD şirketlerini, finansal olarak motive olmuş FIN7 siber suçlu grubunun, fidye yazılımı dağıtmak için kötü amaçlı USB cihazları içeren paketlerle ABD savunma endüstrisini hedef aldığı konusunda uyardı.
Saldırganlar, LilyGO logolu ‘BadUSB’ veya ‘Bad Beetle USB’ cihazlarını içeren ve internette yaygın olarak satılan paketleri postaladılar.
Ağustos 2021’den bu yana ulaşım ve sigorta sektörlerindeki işletmelere ve Kasım 2021’den itibaren savunma firmalarına kötü amaçlı paketleri e-postayla göndermek için Amerika Birleşik Devletleri Posta Servisi’ni (USPS) ve Birleşik Parsel Servisi’ni (UPS) kullandılar.
BlackMatter veya REvil fidye yazılımı, ihlal edilen ağlara dağıtıldı
FIN7 operatörleri, hedefleri kandırarak paketleri açmaları ve USB sürücülerini sistemlerine bağlamaları için Amazon ve ABD Sağlık ve İnsan Hizmetleri Departmanı’nın (HHS) kimliğine büründü.
Ağustos ayından bu yana, FBI tarafından alınan raporlar, bu kötü amaçlı paketlerin ayrıca, kimliğe bürünülen varlığa bağlı olarak COVID-19 yönergeleri veya sahte hediye kartları ve sahte teşekkür notları hakkında mektuplar içerdiğini söylüyor.
Hedefler USB sürücüsünü bilgisayarlarına taktıktan sonra, otomatik olarak bir İnsan Arayüzü Aygıtı (HID) Klavyesi olarak kaydolur (çıkarılabilir depolama aygıtları kapalıyken bile çalışmasına izin verir).
Ardından, güvenliği ihlal edilmiş sistemlere kötü amaçlı yazılım yükleri yüklemek için tuş vuruşlarını enjekte etmeye başlar.
FIN7’nin bu tür saldırılardaki nihai hedefi, kurbanların ağlarına erişmek ve Metasploit, Cobalt Strike, Carbanak kötü amaçlı yazılımı, Griffon arka kapısı ve PowerShell komut dosyaları dahil olmak üzere çeşitli araçları kullanarak güvenliği ihlal edilmiş bir ağ içinde fidye yazılımlarını (BlackMatter ve REvil dahil) dağıtmaktır.
Kötü amaçlı yazılım oyuncak ayılar kullanılarak itildi
Bu saldırılar, FBI’ın iki yıl önce uyardığı başka bir dizi olayı takip ediyor. FIN7 operatörleri Best Buy’ın kimliğine büründüğünde ve benzer paketleri kötü amaçlı flash sürücülerle USPS aracılığıyla otellere, restoranlara ve perakende işletmelerine postaladı.
Bu tür saldırganların raporları Şubat 2020’de su yüzüne çıkmaya başladı. Hedeflerden bazıları, bilgisayar korsanlarının sürücüleri sistemlerine bağlamaları için kendilerine baskı yapmak için e-posta gönderdiklerini veya aradıklarını da bildirdi.
En az Mayıs 2020’den başlayarak, FIN7 tarafından gönderilen kötü niyetli paketler, hedefleri kandırıp gardlarını düşürmeleri için tasarlanmış oyuncak ayılar gibi öğeleri de içeriyordu.
FIN7 tarafından denenenler gibi saldırılar, HID veya USB sürücülü saldırılar olarak bilinir ve yalnızca kurbanlar, iş istasyonlarına bilinmeyen USB aygıtlarını takmaya istekliyse veya kandırılırsa başarılı olabilirler.
Şirketler, çalışanlarının yalnızca donanım kimliklerine göre veya güvenlik ekipleri tarafından incelendiklerinde USB cihazlarını bağlamalarına izin vererek bu tür saldırılara karşı savunma yapabilir.