Российская хакерская группа FIN7 создала поддельную организацию безопасности под названием Bastion Secure в начале 2021 года и использовала ее, чтобы заманивать сотрудников кибербезопасности, нанимать их, а затем обманом заставлять их помогать в атаках программ-вымогателей. Компания утверждает, что предоставляет услуги кибербезопасности государственному сектору и частным организациям по всему миру.
Подразделение Recorded Future, Gemini Advisory, провело расследование и показало, что компания является прикрытием для хакерской группы FIN7, которая использовала веб-сайт Bastion Secure для размещения объявлений о вакансиях на различных российских порталах по трудоустройству, желая нанять технических специалистов на несколько должностей.
Изображение: запись
Согласно объявлениям на своем веб-сайте, FIN7 наняла программистов PHP, системных администраторов, Python, C++ и реверс-инженеров.
Один из Gemini Advisory прошел весь процесс найма, чтобы изучить компанию, и все люди, подавшие заявки, прошли собеседование, включающее три этапа:
В то время как процесс собеседования в целом казался немного сомнительным, последний этап фактически выдал его. Gemini Advisory заявила, что не было никаких документов, разрешающих тесты на проникновение на 3-й фазе, что обычно является обычным делом.
Кроме того, представители компании попросили заявителей использовать только те инструменты, которые не будут обнаружены никаким программным обеспечением безопасности, и критически подходить к системам хранения файлов и резервным копиям, как только они получат доступ к сети компании.
По словам исследователей из Gemini Advisory unit:
«Сразу стало ясно, что компания занимается преступной деятельностью. Тот факт, что представители Bastion Secure особенно интересовались файловыми системами и резервными копиями, свидетельствует о том, что FIN7 больше интересовался атаками программ-вымогателей, чем заражением [точек продаж]».
Исследователь, которому предложили должность в компании Bastion Secure, проанализировал инструменты, которые им предоставила компания. Оба набора инструментов Carbanak и Tirion (Lizar) ранее относились к FIN7, и оба могут использоваться для развертывания программ-вымогателей и взлома PoS-систем. Недавно мы наблюдали аналогичные атаки со стороны FIN8, FIN7 и FIN6. В сентябре 2021 года FIN8 заблокировал финансовые организации США с помощью вредоносного ПО.
Группа киберпреступников FIN7 идентифицирована как операторы Darkside Raas
Инструменты, которыми Bastion Secure поделилась с заявителем (членом Gemini Advisory), были связаны со штаммами вредоносных программ и входили в арсенал FIN7, например, Carbanak и Lizar/Tirion. Член Gemini также сказал, что задачи, поставленные перед всеми кандидатами, «соответствовали шагам, предпринятым для подготовки атаки программ-вымогателей».
По данным Gemini Advisory, компания установила два штамма программ-вымогателей Ryuk или REvil, которые были частью кибератак FIN7 за последние несколько лет.
По словам исследователей безопасности Microsoft, более новые атаки могли быть развернуты на программах-вымогателях BlackMatter и DarkSide. BlackMatter недавно атаковала технологического гиганта Olympus и американский фермерский кооператив New Cooperative Inc.
Кроме того, представитель Microsoft Кристофер Глайер и Ник Карр заявили, что FIN7 не только развернула программу-вымогатель DarkSide, но и управляла Darkside RaaS (программа-вымогатель как услуга).
FIN7 ранее использовал Combi Secure
Создание охранной фирмы не было новой тактикой для FIN7. Они использовали ту же тактику еще в 2010 году, когда создали фальшивую охранную фирму под названием Combi Security.
Однако в то время компания занималась развертыванием вредоносного ПО для точек продаж. Согласно отчету Министерства юстиции США, они использовали Combi Security для найма сотрудников службы безопасности для взлома различных сетей розничных организаций, после чего они развернули в системе вредоносное ПО PoS для кражи данных кредитных карт клиентов из взломанных сетей .
Изображение: запись
Бретт Кэллоу, эксперт по программам-вымогателям в Emisoft, считает, что решение FIN7 спрятаться за Bastion Secure, вероятно, позволит избежать нежелательного внимания со стороны закона. Далее он сказал:
«Нет ничего удивительного в том, что киберпреступники попытаются завербовать через фальшивую компанию. Найм из даркнета проблематичен и рискован. Банды вымогателей менее приветствуются на некоторых форумах по киберпреступности, чем раньше, и кандидаты потенциально могут быть сотрудниками правоохранительных органов, работающими под прикрытием».
Согласно Gemini Advisory, причина, по которой FIN7 зашла так далеко, что создала поддельную компанию не только один раз, но и дважды, связана с деньгами и операционными расходами. То, что сказал Кэллоу, тоже имеет большой смысл, поскольку нанимать сотрудников из даркнета рискованно.
Это, несомненно, вызывает обеспокоенность, поскольку сотрудники могут быть введены в заблуждение относительно характера своей работы и не смогут понять, что они проходят проверку на проникновение.