...
🧠 Blogi on pühendatud VPN-i ja turvalisuse, andmete privaatsuse teemale Internetis. Räägime praegustest kaitsega seotud trendidest ja uudistest.
AndmekaitseKindralLekked

Küberkuritegevuse jõuk moodustab võltsettevõtte, et värvata küberrünnakuteks turvaeksperte

12
Sisu
FIN7 küberkuritegevuse rühm, mis on tuvastatud kui Darkside Raas operaatorid
FIN7 kasutas varem Combi Secure'i

Venemaa häkkimisrühmitus FIN7 asutas 2021. aasta alguses võltsturvaorganisatsiooni nimega Bastion Secure ja kasutas seda küberjulgeolekutöötajate meelitamiseks, nende palkamiseks ja seejärel lunavararünnakutele kaasa aitamiseks. Ettevõte väidab, et pakub küberturbeteenuseid avalikule sektorile ja eraorganisatsioonidele üle kogu maailma.

Recorded Future divisjon Gemini Advisory viis läbi juurdluse ja paljastas, et ettevõte on varjatud häkkimisgrupile FIN7, mis kasutas Bastion Secure'i veebisaiti töökuulutuste postitamiseks erinevatesse Venemaa tööportaalidesse, soovides värvata tehnoloogiatöötajaid mitmele ametikohale.

Pilt: rekord

Oma veebisaidil olevate kuulutuste kohaselt palkas FIN7 PHP programmeerijad, süsteemiadministraatorid, Pythoni, C++ ja pöördinsenerid.

Üks Gemini Advisory'st läbis kogu värbamisprotsessi, et uurida ettevõtet, kuhu kõik kandideerinud inimesed läbisid intervjuuprotsessi, mis hõlmas kolme etappi:

Kuigi intervjueerimisprotsess tundus üldiselt pisut varjuline, andis viimane etapp selle tegelikult ära. Gemini Advisory teatas, et 3. faasis puuduvad dokumendid, mis volitaks läbitungimisteste, mis on tavaliselt tavaline.

Veelgi enam, ettevõtte esindajad palusid taotlejatel kasutada ainult neid tööriistu, mida ükski turvatarkvara ei tuvasta ning ettevõtte võrku jõudes kriitiliselt otsida failide salvestussüsteeme ja varukoopiaid.

Gemini nõuandeüksuse teadlaste sõnul:

«Kohe sai selgeks, et ettevõte on seotud kuritegeliku tegevusega. Asjaolu, et Bastion Secure'i esindajad olid eriti huvitatud failisüsteemidest ja varukoopiatest, viitab sellele, et FIN7 oli rohkem huvitatud lunavararünnakute läbiviimisest kui [müügipunkti] nakatumisest.

Teadlane, kellele ettevõte Bastion Secure ametikohta pakkus, analüüsis ettevõtte pakutavaid tööriistu. Mõlemad tööriistakomplektid Carbanak ja Tirion (Lizar) on varem omistatud FIN7-le ja mõlemat saab kasutada lunavara juurutamiseks ja PoS-süsteemide häkkimiseks. Hiljuti nägime sarnaseid rünnakuid FIN8, FIN7 ja FIN6 poolt. 2021 aasta septembris varustas FIN8 USA finantsorganisatsioone pahavaraga.

FIN7 küberkuritegevuse rühm, mis on tuvastatud kui Darkside Raas operaatorid

Tööriistad, mida Bastion Secure jagas taotlejaga (Gemini Advisory liige), olid seotud pahavara tüvedega ja on kuulunud FIN7 arsenali, nagu Carbanak ja Lizar/Tirion. Gemini liige ütles ka, et kõigile taotlejatele määratud ülesanded "vastasid lunavararünnaku ettevalmistamiseks võetud sammudele".

Gemini Advisory andmetel paigaldas ettevõte kaks lunavaratüve Ryuk või REvil, mis on viimastel aastatel olnud osa FIN7 küberrünnakutest.

Microsofti turbeuurijate sõnul oleks BlackMatteri ja DarkSide'i lunavara vastu kasutusele võetud uuemad rünnakud. BlackMatter on hiljuti rünnanud tehnoloogiahiiglast Olympust ja USA põllumajandustootjate ühistut New Cooperative Inc.

Lisaks teatasid Microsofti esindaja Christopher Glyer ja Nick Carr, et FIN7 ei juurutanud ainult DarkSide'i lunavara, vaid haldas ka Darkside RaaS-i (Ransomware-as-a-Service).

FIN7 kasutas varem Combi Secure'i

Turvafirma loomine ei olnud FIN7 jaoks uus taktika. Nad kasutasid sama taktikat 2010. aastal, kui asutasid võltsturvafirma nimega Combi Security.

Sel ajal tegeles ettevõte aga müügikoha pahavara juurutamisega. Vastavalt US DoJ raportile kasutasid nad Combi Securityt turvatöötajate palkamiseks, et rikkuda erinevaid jaemüügiorganisatsioonide võrke, misjärel nad juurutasid süsteemis PoS-i pahavara, et varastada häkitud võrkudest klientide krediitkaardiandmeid .

Pilt: rekord

Brett Callow, Emisofti lunavaraekspert, et FIN7 otsus peita end Bastion Secure'i taha väldib tõenäoliselt soovimatut seaduse tähelepanu. Lisaks ütles ta:

"Pole üldse üllatav, et küberkuritegevuse käigus püütakse värvata võltsettevõtte kaudu. Tumedast veebist palkamine on problemaatiline ja riskantne. Lunavarajõugud on teatud küberkuritegevuse foorumites vähem teretulnud kui kunagi varem ja taotlejad võivad olla salaja töötavad õiguskaitseametnikud.

Gemini Advisory sõnul on põhjus, miks FIN7 nii kaugele läks, et luua võltsfirma mitte ainult üks, vaid kaks korda, seotud raha ja tegevuskuludega. See, mida Callow ütles, on samuti väga mõttekas, kuna tumedast veebist palkamine on riskantne.

See on kahtlemata murettekitav, kuna töötajaid võidakse oma töö olemuse osas eksitada ja nad ei saa aru, et neid testitakse.

Sulle võib ka meeldida Veel autorilt
Veel lugusid

PIA VPN Reddit – (Redditori autentsed kommentaarid)

Kuidas installida Kodi privaatne Interneti-juurdepääs…

Kuidas ipVanishist tühistada ja raha tagasi saada…

1 kohta 446

See veebisait kasutab teie kasutuskogemuse parandamiseks küpsiseid. Eeldame, et olete sellega rahul, kuid saate soovi korral loobuda. Nõustu Loe rohkem