FireEye周一发布报告称,在过去一年多时间里,一群网络罪犯对100多家上市公司发动钓鱼攻击,他们窃取的信息可能足以引发全球金融市场震动。
从2013年中期开始,FireEye发现许多医疗保健或制药公司遭到网络攻击。这群网络罪犯主要利用黑客技术通过窃取他们的电邮获取重要信息。在医药行业,临床试验、管理决策、安全或法律问题等新闻通常可以影响一家公司的股价。此外,也有咨询机构,比如投资银行办公室或提供法律或合规服务的公司等受到影响。
FireEye称这群袭击者为“Fin4”,因为他们主要聚焦于金融方面,似乎是以英语为母语,以北美或西欧为基地,它们深愔华尔街用语。他们的电邮诱惑几乎精确到每个特定的受害者,邮件中的英语毫无瑕疵,措辞谨慎,看起来好像某些有投资银行背景、非常了解行业内幕的人士发送的。
这群网络罪犯攻击的受害者从事的工作领域很广泛,但通常以高管、法律顾问、监管、风险以及合规官员、研究人员甚至科学家,他们会发送不同类型的邮件。有些高管受到欺骗,点击来自长期客户账户发送的链接,这个客户宣称在一个投资论坛中发现一名雇员对这名高管的负面评论。
其他案例中,袭击者使用以前窃取的公司机密文件帮助他们行骗。在部分案件中,袭击者甚至只是简单地在邮件中嵌入通用的投资报告。但在每起案件中,这些链接或附件都会将受害者重新定向假的电邮登陆网页,他们可以通过网页窃取受害者的信任证书,随后即可登陆或阅读受害者的电邮内容。
“Fin4”袭击者的行动十分谨慎,他们不用恶意软件一步步深入公司计算机服务器和基础设施中,他们只是阅读个人电邮,并对被其渗透的收件箱进行重新设定,自动删除任何含有“黑客”、“钓鱼”、“恶意软件”等词汇的邮件,以此延长他们的受害者了解自己账户已被黑的时间。
FireEye的威胁情报主管珍妮·威登(Jen Weedon)说:“鉴于这些人袭击的目标类型,他们不需要以身犯险。因为这些目标都属于高级角色,他们的收件箱中有足够多有趣的信息。袭击者只寻找那些受到委托人保护的信息、安全报告以及内部调查与审核文件等。”
由于袭击者并未使用恶意软件,并且利用完美英语进行沟通,他们很难被追踪。威登说,FireEye在2013年中期开始对“Fin4”的攻击作出反应,但直到5个月前,他们才将所有发现拼凑完整。当时,多位分析师得出结论称,“Fin4”的攻击似乎不同以往,需要进一步调查。
由于与客户签有保密协议,FireEye没有提及受害公司名字,但有3家公司在纽约证交所或纳斯达克证交所上市,其他公司则在美国之外的证交所上市。这些公司中一半都属于生物技术领域,13%出售医疗设备,12%出售医疗仪器和设备,10%生产药品,还有少部分目标包括医疗诊断与研究机构、医疗保健供应商以及提供医疗保健服务计划的公司。
FireEye说,他们已经将袭击事件通知受害者和联邦调查局,但不清楚证券交易委员会等机构是否正介入调查。联邦调查局和证券交易委员会的发言人都拒绝对此发表评论。威登说,FireEye还没有时间评估这些袭击事件的影响,以及袭击者是否获得经济收益。
在每起案件中,袭击者使用匿名软件Tor登陆到受害者电邮账号中窃取信息。11月份,联邦调查局查封数十家通过Tor网络运行的犯罪网站。威登表示:“我们还没有查明Fin4的成员身份,但我们觉得他们很可能是美国人或西欧人,并且有丰富的投资银行领域经验。如果不是美国人,那他们肯定也是投资银行领域的资深人士,对这个行业非常了解。”