美国新型黑客运用华尔街行话行骗 专攻企业高管

04.12.2014  00:03

  中新网12月3日电 据美国《纽约时报》2日报道,美国新型黑客正在运用华尔街行话行骗。一个网络犯罪团伙在一年多的时间里窃取了100多个组织的电子邮件,这些组织中绝大多数是医疗保健或制药上市公司,犯罪团伙明显是在寻求足以对全球金融市场产生重大影响的信息。

  1日,硅谷安全公司FireEye发布了一份报告,详细描述了这个犯罪团伙的活动,揭示了一种新的犯罪意图,即利用黑客技术来获得医药行业中的市场优势。在这个行业中,临床试验消息、监管决定,以及安全或法律问题,可能会对公司的股价产生影响。

  从2013年中期开始,FireEye开始应对上市公司以及咨询公司遭受入侵的情况。它说,这些上市公司中三分之二都属于医疗保健和制药业,此外还有咨询机构,比如投资银行办事处,或者提供法律或合规服务的公司。

  由于这些攻击者侧重于金融业目标,FireEye称他们为“Fin4”,这些人似乎母语是英语,总部设在北美和西欧,精通华尔街行话。他们给每名受害者发送的电邮诱饵,都进行过精准的度身定制,使用了完美的英语、谨慎的措辞,看起来像是出自一位精通投资银行业务,谙熟业内术语的人之手。

  不同群体的受害者——包括最高层级的管理人员;法律顾问;监管、风险与合规管理者;研究人员;科学家——收到了不同的邮件。一些受骗的高管点击了长期客户账号发来的链接,因为这些所谓的客户说,他们发现一名员工在投资论坛上发布了有关该高管的的负面评论。

  还有些时候,攻击者使用他们以前盗取的公司机密文件,来让圈套显得真实可信。有时候攻击者只是把一般性的投资报告嵌入电子邮件。

  无论是哪种情况,这些链接或附件都会把受害者带到假冒的电子邮件登录页面,以便窃取受害者的账号密码,这样一来,攻击者就可以登录并阅读他们的电邮内容了。

  Fin4攻击者的活动比较轻量级。与来自俄罗斯的那种证据充分的攻击不同,Fin4并没有使用恶意软件深入一个组织的计算机服务器和基础设施,他们只是查看人们的电邮,并设置收件箱的过滤规则,自动删除包含“黑客”、“钓鱼攻击”或“恶意软件”等词语的邮件,以便拖延受害者发现自己电邮账户被侵入的时间。

  “从他们攻击的目标人群的类型来看,他们并不需要扩大活动范围;高级主管收件箱中的信息,就已经足够有料了,”FireEye威胁情报经理延·威登(Jen Weedon)说。“他们的目标是律师-委托人之间的机密信息、安全报告,内部调查和审计文件的信息。

  由于攻击者并不部署恶意软件,并且是用规范的英语交流的,跟踪他们可能会非常困难。威登表示,FireEye第一次开始应对Fin4的攻击是在2013年的年中,但直到五个月前,当公司的几名分析师得出结论,说攻击似乎不是出自俄罗斯那些熟悉的黑客之手,需要做进一步调查时,FireEye才对这些发现有了一个整体把握。

  FireEye不会公布受害者的名字,理由是与客户签订了保密协议,但它表示,遭到入侵的公司中,只有三家是在纽约证券交易所或纳斯达克上市的,其他都是其他国家的上市公司。

  这些公司中有一半属于生物技术领域;13%销售医疗器械;12%出售的医疗仪器和设备;10%制造药品;还有少量医疗诊断和研究机构、医疗保健提供者,以及医疗保健计划服务机构。

  FireEye说自己已经通知了受害者和联邦调查局,但不知道其他机构,比如美国证券交易委员会(Securities and Exchange Commission,简称SEC)是否会调查此事。

  联邦调查局的代表拒绝发表评论。SEC的代表没有回复记者的置评请求。

  威登表示,FireEye没有时间来评估这些攻击的影响,因此不了解袭击者是否获得了经济利益。

  每次攻击时,Fin4都使用了Tor来登陆受害者的电子邮件帐户。Tor是个匿名软件,用世界各地的IP地址来中转网络数据往来,所以要追踪Fin4的攻击源头很困难,但也并非不可能。上个月,联邦调查局查出了数十个在Tor网络上运作的犯罪网站,是类似行动中规模的最大一次。

  “我们尚未找到具体源头,但我们认为攻击者有很大的可能是美国人或者西欧人,曾在美国的投资银行业工作过,”威登说。“但找到他们很难,因为我们没有可以辨识出这些人的确凿证据,只知道他们的母语是英语,可以天衣无缝地捏造电邮。

  威登补充说,“做这些事的就算不是美国人,也与投资银行界有密切联系,而且非常熟悉这个圈子的行话。