CrimeOps: A Arte Operacional do Crime Cibernético

Views: 452

Inovação em crimes cibernéticos é lucrativa

O cibercrime recompensa organizações inovadoras. Estes podem inovar no nível tático (por exemplo, táticas, técnicas e procedimentos novos ou atualizados (TTP)), no nível estratégico (por exemplo, novos métodos de monetização) ou no nível operacional — a gestão de recursos e pessoal para alcançar objetivos estratégicos. Isso é arte operacional.

O nível operacional, a cola que permite que um grupo execute bem, raramente é analisado porque raramente é visível para pesquisadores de segurança da informação. Ao contrário do TTP tático, onde as mudanças são descobertas rapidamente no solo, novas estratégias operacionais só vêm à tona monitorando grandes mudanças e tendências.

Os depoimentos da FIN7 são uma oportunidade única para ver dentro da gestão de uma quadrilha de crimes cibernéticos bem sucedida e analisar sua arte operacional. As informações mais detalhadas nos depoimentos abrangem o período de 2016 a 2017. As metodologias e ferramentas descritas eram de ponta e na moda na época

Os Inovadores — FIN7, Uber para Crimes Cibernéticos

A Kaspersky acompanha a FIN7 desde 2015 . Apesar de uma série de prisões em 2018-2020, e investigações em andamento, a FIN7 continua operando. A FIN7 gerenciou centenas de vítimas, grandes volumes de dados roubados, uma grande equipe assalariada, desenvolvimento de novos alvos e manutenção de sua cadeia de ferramentas. É uma organização com muitas partes móveis. Suas inovações estavam na arte operacional de crimes cibernéticos. Os detalhes de como esse grupo de criminosos cibernéticos russos cooperaram como uma organização é fascinante.

FIN7 não era e não é o ator de ameaça mais tecnicamente sofisticado. Eles dependem de phishing para acesso, seu kit de ferramentas é apenas malware comum reaproveitado, e eles monetizam através de cartões de crédito roubados e transferências bancárias. Apesar de ser apenas um meio do grupo de hackers, eles saquearam um suposto 1 bilhão de dólares americanos até 2018. Por que a FIN7 foi tão incrivelmente bem sucedida usando apenas o stodgy “Top 10 Infosec Risks” TTP?

A resposta são as sofisticadas capacidades de organização e gerenciamento da FIN7. Eles adotaram processos ágeis e uma metodologia DevOps. As ferramentas de coordenação e gerenciamento de projetos de boa equipe foram combinadas com a rápida iteração em sua ferramentachain e TTP para manter a eficácia e a capacidade operacional. Vamos explorar CrimeOps.

CrimeOps: Gerenciamento de projetos para criminosos

O segredo do sucesso da FIN7 é sua arte operacional de crimes cibernéticos. Eles gerenciaram seus recursos e operações de forma eficaz, permitindo-lhes atacar e explorar com sucesso centenas de organizações de vítimas. FIN7 não era o grupo hacker mais elite, mas eles desenvolveram uma série de inovações fascinantes. Olhando para o triângulo de processo (pessoas, processos, tecnologia), sua tecnologia não era sofisticada, mas sua gestão de pessoas e processos de negócios eram.

O negócio deles… é crime! E toda empresa precisa de objetivos de negócios, então escrevi uma declaração falsa da missão FIN7:

Nossa missão é aproveitar proativamente as estratégias de crescimento existentes de longo prazo e de alto impacto para que possamos entregar o tipo de resultados no resultado final que nossos investidores esperam e merecem.

Como o FIN7 realiza essa visão? Este é o CrimeOps:

• Processo de negócios repetível
• CrimeBosses gerenciam trabalhadores, projetos, dados e dinheiro.
• CrimeBosses não gerenciam inovação técnica. Eles usam melhoria incremental para TTP para permanecer eficaz, mas não mais
• Os trabalhadores da linha de frente não precisam inovar (porque o processo é repetível)

Vamos ver o triângulo de processo deles.

Pessoas: Fin7 Papéis de Equipe

A organização tinha uma gama surpreendentemente sofisticada de funções de trabalho e uma impressionante profundidade de capacidade, semelhante à que você precisaria para construir um APT.

• Gerentes
• Operadores
• Desenvolvedores
• Intérpretes

O grupo FIN7 cresceu de capacidade contratando pessoas através de empresas de fachada falsas. Por trás da fachada de sua falsa empresa de segurança da informação, os líderes da FIN7 recrutaram funcionários para trabalhar em testes de desenvolvimento e penetração. Os potenciais funcionários foram entrevistados em uma instância do HipChat (uma espécie de Slack hospedado em particular).

“Até 2025, haverá uma escassez projetada de 20.000 cibercriminosos”

– Cyber Crime Business Weekly, provavelmente. 

Fin7 está sofrendo uma série de contratempos enquanto o FBI o desmantela agressivamente. A suíte executiva está sendo esvaziada. Líderes do grupo (a equipe de gestão) foram presos, mas um grande número de jogadores apoiadores escaparam do braço longo da lei.

Processo: Como fazer crimes cibernéticos e ganhar dinheiro

O sucesso do FIN7 vem de seu processo de criminalidade eficaz, um modelo de monetização que se adapta facilmente a diferentes verticais e organizações. O processo fundamental de crimes cibernéticos usado pela FIN7 não é notável, mas absolutamente eficaz. É o cybercrime do pão e da manteiga. O processo que converte o acesso a uma empresa em um fluxo de dados financeiros valiosos e transferências de dinheiro é:

1. Selecione o alvo
2. Pesquisar potenciais ativos no alvo
3. Recrutar ativos por e-mail
4. Enganar o recurso para implantar trojan de acesso remoto
5. Rede de pesquisa
6. Inicie a exfiltração contínua
   1. Acessar contas bancárias de negócios, ponto de acesso de venda ou outro processamento financeiro
   2. Transferir dinheiro das contas, transferir dados coletados para fora da rede
7. Venda dados financeiros

Esta é uma caixa preta que faz dinheiro. Um alvo, como entrada, produz transferências bancárias e dados financeiros como saída. A inovação foi na escala desse processo.

Um processo de crime confiável permite a extração de valor de qualquer vítima. Portanto, a estratégia de negócios para essa empresa criminosa não é a extração de valor, mas o crescimento do portfólio de vítimas que podem explorar. Essencialmente, uma vez que eles tinham produto/mercado fit, FIN7 só tinha que escalar. O gargalo de escala não está em processo, mas em executá-lo em paralelo. É aí que a arte operacional do crime cibernético se torna a gestão de portfólio.

Crescimento de negócios: Gestão de portfólio para hackers

“A gestão de portfólio é a seleção, priorização e controle dos programas e projetos de uma organização, em consonância com seus objetivos estratégicos e capacidade de entrega. O objetivo é equilibrar a implementação de iniciativas de mudança e a manutenção dos negócios como de costume, otimizando o retorno do investimento.” – APM Corpo do Conhecimento 7ª edição

Depois que a equipe central padronizou seu processo para explorar uma empresa vítima, o gargalo para maximizar os retornos passou de “desenvolver um processo” para “executar o processo em paralelo”. A inovação da FIN7 em operações, projetos e gerenciamento de recursos permitiu que eles crescessem seu portfólio de vítimas ativamente explorados.

Isso é gestão de portfólio. O portfólio é um pacote de projetos. Cada projeto é uma empresa vítima que passa pelo processo de monetização com recursos associados. Um projeto contém informações sobre a vítima, o pessoal designado e dados extraídos. A única maneira de lidar com centenas de vítimas é com uma pilha de software de gerenciamento de projetos para rastrear e monitorar o progresso através do processo.

A FIN7 também utilizou os processos de gerenciamento de projetos de sua época, incluindo agile e DevOps. Eles usaram mudanças ágeis (iterativas em resposta ao feedback) para ajustar e alterar suas ferramentas conforme necessário para permanecer operacional. Eles usaram o DevOps como colaboração entre desenvolvedores e operações com gerenciamento central durante todo o processo de engenharia de ponta a ponta.

Tecnologia

Taticamente FIN7 é chato. O processo tático de cibercrime, o TTP que permite o processo, é bastante rígido. Fin7 foram rastreados por seu TTP, e outros grupos foram encontrados duplicando o TTP (você pode obter uma patente para um processo de negócios de crimes cibernéticos?), por anos. Não há muito espaço para inovar no nível tático, e é improvável que a inovação altere substancialmente sua receita porque eles não são gargalos por sua capacidade de penetrar ou extrair valor. Com tecnologia tática chata, mas eficaz, os trabalhadores da linha de frente não têm que inovar, e a receita não depende de suas habilidades técnicas.

O sucesso é realizado através de uma gestão inovadora. A FIN7 usou software de gerenciamento de projetos para rastrear as vítimas e o progresso de seus ataques. Eles usaram software de bate-papo em grupo para gerenciar pessoal, realizar entrevistas e negociar dados. Um sistema de bate-papo seguro separado foi usado para operações sensíveis, como organizar o pagamento de salários.

Usando jira, a FIN7 criou um bilhete de emissão para cada vítima. À medida que o ataque progredia através do reconhecimento, infiltração, travessia lateral e exploração de alvos (coletando dados em “loot”), o problema foi atualizado. Nomes de usuário e senhas, saída de ferramentas de segurança, capturas de tela e capturas de vídeo, tudo relevante para aumentar seu acesso e controle sobre a vítima, foi adicionado ao JIRA.

É interessante que o JIRA tenha sido utilizado como ferramenta de gerenciamento de informações, com um único problema por vítima e informações relevantes adicionadas como comentários. Este é um mau uso das capacidades da JIRA. Eles não usaram a funcionalidade de gerenciamento de projetos da JIRA, mas abusaram da bilhetagem para colaboração ad hoc. Isso poderia ser melhorado — o gerenciamento de informações seria melhor tratado com uma wiki ou uma ferramenta de colaboração especializada da equipe vermelha.

É possível que a JIRA tenha sido usada parcialmente para ajudar a manter a cobertura da empresa “legítima” Combi Security. Realisticamente, qualquer testador de penetração que estivesse envolvido nas operações criminosas da FIN7 saberia que eles não estavam conduzindo hackers éticos, porque:

• Testes adequados de caneta têm tempos de partida, pontapé inicial e duração
• Os clientes de teste de caneta fornecem informações para a equipe de teste de caneta
• Engenharia social sofisticada raramente é usada (porque sempre funciona)

Havia indicadores excessivamente criminais:

• Engenharia social direcionada com sedutores sob medida e vetores de infecção
• Pressão de engenharia social secundária (telefonemas para orientar a vítima através do processo de infecção)
• Usando malware para exploração de postagem
• Sistemas de ponto de venda de alvo
• Coletando detalhes do cartão de crédito em “loot.rar”

Na verdade, a razão número um é mais óbvia:os testes de caneta sempre resultam na redação do relatório.

CrimeOps: Pipeline de Infiltração Contínua

Revisamos o triângulo de processo CrimeOps da FIN7. As principais inovações e melhorias na prática padrão desenvolvidas ou adotadas pela FIN7 foram:

• Passar da inovação tecnológica para a inovação empresarial
• Processo adaptável repetível
• Gestão de portfólio para dimensionar os processos
• Software de gerenciamento de projetos para rastrear um grande número de vítimas
• Capacitação para execução de processos em paralelo
• Funções de equipe, equipes estruturadas e recrutamento
• Colaboração de DevOps
• Iteração rápida ágil no kit de ferramentas

O crime paga quando você move a cadeia de valor para o gerenciamento de projetos!

FONTE: OKTA