Resim: Brina Blum
Federal Soruşturma Bürosu (FBI), kısa süre önce güncellenen bir flaş uyarıda ABD şirketlerini, finansal olarak motive olmuş FIN7 siber suçlular grubunun kötü amaçlı USB cihazları içeren paketlerle ABD savunma endüstrisini hedef aldığı konusunda uyardı.
Saldırganlar, LilyGO logolu ‘BadUSB’ veya ‘Bad Beetle USB’ aygıtlarını içeren ve genellikle İnternette satışa sunulan posta paketleridir.
Paketler, Ağustos 2021’den bu yana ulaşım ve sigorta sektörlerindeki işletmelere ve Kasım 2021’den itibaren savunma firmalarına Amerika Birleşik Devletleri Posta Servisi (USPS) ve Birleşik Parsel Servisi (UPS) aracılığıyla postalanıyor.
FIN7 operatörleri, paketleri açmaları ve USB sürücülerini sistemlerine bağlamaları için hedefleri kandırmak için Amazon ve ABD Sağlık ve İnsan Hizmetleri Departmanı’nın (HHS) kimliğine bürünür.
Ağustos ayından bu yana, FBI tarafından alınan raporlar, bu kötü amaçlı paketlerin ayrıca, kimliğe bürünülen varlığa bağlı olarak COVID-19 yönergeleri veya sahte hediye kartları ve sahte teşekkür notları hakkında mektuplar içerdiğini söylüyor.
Hedefler USB sürücüsünü bilgisayarlarına taktıktan sonra, otomatik olarak bir İnsan Arayüzü Aygıtı (HID) Klavyesi olarak kaydolur (çıkarılabilir depolama aygıtları kapalıyken bile çalışmasına izin verir). Ardından, güvenliği ihlal edilmiş sistemlere kötü amaçlı yazılım yükleri yüklemek için tuş vuruşlarını enjekte etmeye başlar.
FIN7’nin bu saldırılardaki nihai hedefi, kurbanların ağlarına erişmek ve Metasploit, Cobalt Strike, Carbanak kötü amaçlı yazılımı, Griffon arka kapısı ve PowerShell komut dosyaları dahil olmak üzere çeşitli araçları kullanarak güvenliği ihlal edilmiş bir ağ içinde fidye yazılımı dağıtmaktır.
Kötü amaçlı yazılım oyuncak ayılar kullanılarak itildi
Bu saldırılar, FBI’ın iki yıl önce uyardığı başka bir dizi olayı takip ediyor. FIN7 operatörleri Best Buy’ın kimliğine büründüğünde ve benzer paketleri kötü amaçlı flash sürücülerle USPS aracılığıyla otellere, restoranlara ve perakende işletmelerine postaladı.
Bu tür saldırganların raporları Şubat 2020’de su yüzüne çıkmaya başladı. Hedeflerden bazıları, bilgisayar korsanlarının sürücüleri sistemlerine bağlamaları için kendilerine baskı yapmak için e-posta gönderdiklerini veya aradıklarını da bildirdi.
En az Mayıs 2020’den başlayarak, FIN7 tarafından gönderilen kötü niyetli paketler, hedefleri kandırıp gardlarını düşürmeleri için tasarlanmış oyuncak ayılar gibi öğeleri de içeriyordu.
FIN7 tarafından denenenler gibi saldırılar, HID veya USB sürücülü saldırılar olarak bilinir ve yalnızca kurbanlar, iş istasyonlarına bilinmeyen USB aygıtlarını takmaya istekliyse veya kandırılırsa başarılı olabilirler.
Şirketler, çalışanlarının yalnızca donanım kimliklerine göre veya güvenlik ekipleri tarafından incelendiklerinde USB cihazlarını bağlamalarına izin vererek bu tür saldırılara karşı savunma yapabilir.