Vier Vietnamezen die verbonden zijn met de internationale cybercrimegroep FIN9 zijn aangeklaagd voor hun betrokkenheid bij een reeks computeraanvallen die meer dan $71 miljoen aan schade hebben veroorzaakt bij bedrijven in de VS.

De verdachten, geïdentificeerd als Ta Van Tai, Nguyen Viet Quoc, Nguyen Trang Xuyen en Nguyen Van Truong, pleegden hun cybercrimes van mei 2018 tot oktober 2021, waarbij ze zowel gegevens als geld rechtstreeks van Amerikaanse organisaties stalen.

“De FIN9-verdachten waren productieve internationale hackers die jarenlang, naar verluidt, phishingcampagnes, supply chain-aanvallen en andere hackmethoden gebruikten om miljoenen van hun slachtoffers te stelen,” zegt de Amerikaanse procureur Philip R. Sellinger.

“Ze deden dit allemaal terwijl ze zich verscholen achter toetsenborden, VPN’s en valse identiteiten, en toch heeft het ministerie van Justitie ze gevonden.”

Modus operandi van FIN9

De groep gebruikte naar verluidt frauduleuze e-mails of elektronische communicatie om individuen te misleiden en persoonlijke informatie zoals inloggegevens, wachtwoorden en creditcardinformatie te onthullen.

Gerichte phishingaanvallen waren gericht op specifieke personen binnen organisaties en deden zich vaak voor als vertrouwde contacten om ongeautoriseerde toegang tot het computernetwerk van het slachtoffer te verkrijgen.

Volgens het ministerie van Justitie richtte FIN9 zich op de computernetwerken van derde partijen die diensten of software leverden die cruciaal waren voor de operaties van hun slachtoffers.

Door deze leveranciers te compromitteren, een proces dat bekend staat als een ‘supply chain-aanval’, kregen ze indirecte toegang tot de netwerken stroomafwaarts.

In andere gevallen gebruikten ze naar verluidt malware en scripts om bekende kwetsbaarheden in het netwerk van het slachtoffer te exploiteren, waardoor ongeoorloofde toegang en data-exfiltratie mogelijk werd.

Zodra FIN9 toegang tot een doelnetwerk had verkregen, stalen ze vertrouwelijke gegevens, waaronder financiële informatie, accountgegevens, werknemersvoordelen, cadeaubonnen en creditcardinformatie.

Deze gegevens werden vervolgens via verschillende kanalen gemonetariseerd, waarbij FIN9 de gestolen gegevens via P2P-netwerken en sociale mediaplatforms verkocht in ruil voor Bitcoin en andere cryptovaluta.

In sommige gevallen gebruikte FIN9 de gestolen persoonlijk identificeerbare informatie (PII) om frauduleuze online accounts aan te maken en hun illegale activiteiten te verbergen achter aangenomen identiteiten.

De aanklacht, gedateerd 11 januari 2024, mogelijk een indicatie van het tijdstip van de arrestaties, presenteert specifieke incidenten vanaf mei 2019.

Eén spraakmakende zaak is wanneer FIN9 toegang kreeg tot het Employee Recognition and Rewards Benefits System van een bedrijf in de VS, en ongeveer 7.617 cadeaubonnen ter waarde van ongeveer $1 miljoen uitgaf naar e-mailaccounts die onder hun controle stonden.

Deze aanval trof meerdere winkelketens, waaronder een grote verkoper van videogames en elektronica.

Het compromitteren van cadeaubonuitgevers en het genereren van een groot aantal kaarten komt overeen met dat van Storm-0539, een aparte dreigingsgroep die voor het eerst in 2021 begon te opereren, met zijn activiteiten die culmineerden in de afgelopen maanden.

Aanklachten

De vier verdachten krijgen zware straffen als ze op alle punten worden veroordeeld, met potentiële cumulatieve straffen van enkele tientallen jaren gevangenisstraf.

De zes aanklachten die in de aanklacht worden vermeld, maar die niet op alle verdachten van toepassing zijn, zijn:

• Samenzwering tot het plegen van fraude en gerelateerde activiteiten in verband met computers – tot 5 jaar gevangenisstraf
• Samenzwering tot het plegen van draadfraude – tot 20 jaar gevangenisstraf
• Computerfraude en misbruik – tot 10 jaar gevangenisstraf per geval
• Zware identiteitsdiefstal – verplichte termijn van 2 jaar gevangenisstraf
• Samenzwering tot het plegen van fraude in verband met identificatiedocumenten – tot 15 jaar gevangenisstraf
• Samenzwering tot het plegen van witwassen van geld – tot 20 jaar gevangenisstraf

Ta Van Tai wordt aangeklaagd voor alle bovengenoemde aanklachten, Nguyen Viet Quoc is uitgesloten van de witwasbeschuldiging, en de andere twee zijn ook vrijgesteld van identiteitsdiefstalaanklachten.

Bovendien zijn de verdachten onderworpen aan verbeurdverklaring van elk eigendom dat direct of indirect is verkregen uit hun illegale activiteiten, met de bepaling om gelijkwaardige activa in beslag te nemen als het eigendom is overgedragen of buiten de jurisdictie van de rechtbank valt.