Lettre des attaquants de FIN7 (Source : Trustwave)
Ne sous-estimez jamais le pouvoir d’un tchotchke armé, surtout lorsqu’il est associé à un ours en peluche gratuit et à une carte cadeau.
Un tchotchke fait référence ici à des articles promotionnels gratuits distribués lors de foires commerciales, de conventions et d’événements commerciaux similaires. Ils peuvent également être vendus comme souvenirs bon marché dans les zones touristiques, parfois appelées « boutiques tchotchke ».
Le FBI a récemment averti les entreprises qu’elles pourraient être visées par un nouveau stratagème diabolique pratiqué par le gang FIN7, également connu sous le nom de Carbanak Group et Navigator Group.
Ce gang notoire a déjà été lié à plus d’un milliard de dollars de fraude, généralement en infectant des appareils de point de vente avec des logiciels malveillants et en les utilisant pour voler les détails des cartes de paiement (voir : L’art du vol : le phishing très efficace du FIN7).
Le groupe a maintenant un nouveau tour dans ses manches : Il envoie aux victimes un dispositif de stockage USB, avec un ours en peluche et une prétendue carte cadeau de 50 $ à Best Buy. « Vous pouvez le dépenser pour n’importe quel produit de la liste des articles présentés sur une clé USB », lit-on dans la lettre d’accompagnement d’une telle attaque, selon la société de sécurité Trustwave. Il suffit à la victime de brancher le dispositif USB sur son ordinateur.
Le dispositif USB joint est un outil disponible dans le commerce connu sous le nom de « BadUSB » ou « Bad Beetle USB » », explique le FBI dans une alerte flash aux entreprises qui décrit le stratagème. De tels stratagèmes sont également connus sous le nom d’attaques « Bash Bunny ».
Bien qu’elles soient souvent utilisées par les « penetration testers », c’est-à-dire des tests d’intrusion, les attaques BadUSB dans la nature sont relativement rares (voir : Suspect arrêté à Mar-a-Lago avec une clé USB suspecte). Les tests d’intrusion, qui effectuent des tests physiques sont très habiles à faire « chuter » les clés USB « malveillantes » dans le parking ou la salle d’attente d’une cible », expliquent les chercheurs en sécurité Alejandro Baca et Rodel Mendrez de Trustwave dans un article de blog.
Plus complexes sont les attaques dites « Rubber Ducky », où ce qui ressemble à une clé USB est en fait un clavier USB malveillant préchargé de frappes », ajoutent-ils. « Ces types d’attaques sont généralement si explicitement ciblés qu’il est rare de les trouver provenant de véritables attaquants dans la nature. Rare, mais toujours en liberté ».
Mauvais pour les affaires : les BadUSB
Les dispositifs « BadUSB » sont des dispositifs de stockage USB dont le micrologiciel a été réécrit pour faciliter les activités malveillantes, donnant potentiellement aux attaquants la possibilité de contourner les outils anti-virus des points d’extrémité et d’accéder à distance à tout système dans lequel les dispositifs de stockage USB sont branchés (voir : Une nouvelle façon d’atténuer les risques liés aux USB).
« Ne jamais faire confiance à un tel dispositif » – même s’il est accompagné d’une carte-cadeau prétendument réelle et d’une lettre de motivation disant que tout ce que le destinataire doit faire est de brancher le dispositif et de récupérer une liste – disent Alejandro Baca et Rodel Mendrez de Trustwave.
Le FBI affirme que FIN7 a envoyé les dispositifs USB malveillants à des victimes potentielles, parfois aussi pendant qu’il menait une attaque de phishing.
« Lorsqu’il est branché sur un système cible, l’USB s’enregistre comme un dispositif à clavier HID avec un identifiant de fournisseur (VID) de 0x2341 et un identifiant de produit (PID) de 0x8037 », indique l’alerte. « L’USB injecte une série de commandes au clavier, y compris le raccourci (Windows + R) pour lancer la boîte de dialogue « Exécuter Windows » afin d’exécuter une commande PowerShell pour télécharger et exécuter une charge utile de logiciel malveillant à partir d’un serveur contrôlé par un attaquant. Le périphérique USB appelle alors les domaines ou les adresses IP qui sont actuellement situés en Russie ».
La charge utile interceptée révèle un script PowerShell obscurci (Source : Trustwave)
Le FBI affirme que les domaines ou les adresses IP que l’appareil pique renvoient ensuite une copie du malware Griffon à l’appareil, qui a été précédemment joint aux e-mails de phishing envoyés par FIN7. Griffon donne aux attaquants une porte dérobée pour accéder à distance au système infecté et donc à tout ce qui s’y trouve. Le système infecté peut également servir de tremplin aux attaquants pour accéder au reste du réseau de l’entreprise.
Trustwave indique qu’un de ses clients dans le secteur de l’hôtellerie et de la restauration a été victime d’une attaque, comme le précise l’alerte flash du FBI. Comme détaillé dans l’alerte du FBI, la puce du contrôleur USB avait été « reprogrammée pour une utilisation non intentionnelle – dans ce cas comme un clavier USB émulé », ce qui signifie que le simple fait de brancher l’appareil pouvait « infecter l’ordinateur d’utilisateurs non avertis sans qu’ils ne s’en rendent compte ».
Flux d’attaque (Source : Trustwave)
L’exécution de ce type d’attaques est relativement peu coûteuse. Alors que les attaquants peuvent dépenser 100 dollars ou plus pour un périphérique USB équipé d’un microcontrôleur complet, le FBI affirme que le microcontrôleur utilisé dans l’une des attaques FIN7 qu’il a étudiées est un ATMEGA24U, tandis que Trustwave a étudié une attaque distincte qui a utilisé un ATMEGA32U4, chacun d’eux se vendant entre 5 et 14 dollars, selon le fournisseur, rapporte Bleeping Computer.
FIN7 : 1 milliard de dollars de fraudes et de comptages
Auparavant, le gang FIN7 était lié à ce que le ministère américain de la justice a décrit comme une « campagne de logiciels malveillants très sophistiquée » qui a frappé plus de 100 entreprises américaines – en particulier dans les secteurs de la restauration, des jeux et de l’hôtellerie. Arby’s, Chili’s, Chipotle Mexican Grill et Jason’s Deli font partie des victimes de violations de données qui ont confirmé des attaques liées à FIN7 (voir : Chipotle : Hackers Dined Out on Most Restaurants).
FIN7 a perpétré plus d’un milliard de dollars de fraude, en partie en volant les détails de plus de 15 millions d’enregistrements de cartes de paiement sur plus de 6 500 terminaux de points de vente dans plus de 3 600 lieux d’affaires, selon le ministère de la justice.
En 2018, le ministère de la justice a levé les scellés sur les accusations portées contre trois membres présumés du gang de pirates FIN7 : Dmytro Fedorov, Fedir Hladyr et Andrii Kolpakov. Tous sont des ressortissants ukrainiens.
Fedir Hladyr, que les procureurs accusent d’être « un administrateur de systèmes de haut niveau » pour le gang, a été arrêté à Dresde, en Allemagne, en janvier 2018, et extradé vers les États-Unis. En septembre dernier, il a plaidé coupable de conspiration en vue de commettre une fraude informatique, qui est passible d’une peine maximale de 20 ans de prison, et de conspiration en vue de commettre un piratage informatique, qui est passible d’une peine maximale de cinq ans, et a accepté de payer jusqu’à 2,5 millions de dollars de restitution (voir : Le chef de file du vol de cartes de crédit plaide coupable).
En 2018, Dmytro Fedorov a été arrêté à Bielsko-Biala, en Pologne, tandis que Andrii Kolpakov a été arrêté à Lepe, en Espagne. Tous deux ont ensuite été extradés vers les États-Unis et ont plaidé non coupable. Un procès contre les deux hommes a commencé en août 2019 et devrait se poursuivre en octobre 2020. Chacun d’eux est accusé de 26 crimes, allant de l’usurpation d’identité à l’association de malfaiteurs pour piratage informatique.
En attendant, leurs présumés complices de FIN7 semblent poursuivre leurs activités, désormais armés non seulement de logiciels malveillants, mais aussi de jouets en peluche.
https://www.bankinfosecurity.com/fbi-cybercrime-gang-mailing-badusb-devices-to-targets-a-14029
https://attack.mitre.org/groups/G0046/
https://www.bankinfosecurity.com/art-steal-fin7s-highly-effective-phishing-a-11286
