{"id":295220,"date":"2023-04-06T18:47:00","date_gmt":"2023-04-06T15:47:00","guid":{"rendered":"https:\/\/vpn.inform.click\/?p=295220"},"modified":"2023-06-20T03:34:10","modified_gmt":"2023-06-20T00:34:10","slug":"cyberprzestepczy-gang-tworzy-falszywa-firme-aby-rekrutowac-ekspertow-ds-bezpieczenstwa-do-cyberatakow","status":"publish","type":"post","link":"https:\/\/vpn.inform.click\/pl\/cyberprzestepczy-gang-tworzy-falszywa-firme-aby-rekrutowac-ekspertow-ds-bezpieczenstwa-do-cyberatakow\/","title":{"rendered":"Cyberprzest\u0119pczy gang tworzy fa\u0142szyw\u0105 firm\u0119, aby rekrutowa\u0107 ekspert\u00f3w ds. bezpiecze\u0144stwa do cyberatak\u00f3w"},"content":{"rendered":"\n

FIN7, rosyjska grupa hakerska, za\u0142o\u017cy\u0142a fa\u0142szyw\u0105 organizacj\u0119 bezpiecze\u0144stwa o nazwie Bastion Secure<\/strong> na pocz\u0105tku 2021 roku i wykorzysta\u0142a j\u0105 do zwabienia pracownik\u00f3w cyberbezpiecze\u0144stwa, zatrudnienia ich, a nast\u0119pnie nak\u0142onienia ich do pomocy w atakach ransomware. Firma twierdzi, \u017ce \u015bwiadczy us\u0142ugi cyberbezpiecze\u0144stwa sektorom publicznym i organizacjom prywatnym na ca\u0142ym \u015bwiecie.<\/p>\n

Dzia\u0142 Recorded Future, Gemini Advisory, przeprowadzi\u0142 dochodzenie i ujawni\u0142, \u017ce firma jest przykrywk\u0105 dla grupy hakerskiej FIN7, kt\u00f3ra korzysta\u0142a ze strony internetowej Bastion Secure do zamieszczania og\u0142osze\u0144 o prac\u0119 na r\u00f3\u017cnych rosyjskich portalach z ofertami pracy, chc\u0105c rekrutowa\u0107 pracownik\u00f3w technologicznych na r\u00f3\u017cne stanowiska.<\/p>\n

Obraz: Rekord<\/p>\n

Zgodnie z og\u0142oszeniami na swojej stronie internetowej FIN7 zatrudni\u0142 programist\u00f3w PHP, administrator\u00f3w system\u00f3w, Pythona, C++ i in\u017cynier\u00f3w wstecznych.<\/p>\n

Jeden z Gemini Advisory przeszed\u0142 przez ca\u0142y proces rekrutacji, aby zbada\u0107 firm\u0119, czy wszystkie osoby, kt\u00f3re si\u0119 zg\u0142osi\u0142y, przesz\u0142y proces rekrutacyjny obejmuj\u0105cy trzy fazy:<\/p>\n

Chocia\u017c ca\u0142y proces wywiadu wydawa\u0142 si\u0119 nieco podejrzany, ostatnia faza faktycznie go zdradzi\u0142a. Firma Gemini Advisory stwierdzi\u0142a, \u017ce \u200b\u200bnie ma dokument\u00f3w upowa\u017cniaj\u0105cych do przeprowadzania test\u00f3w penetracyjnych w III fazie, co jest zwykle zwyczajem.<\/p>\n

Co wi\u0119cej, przedstawiciele firmy poprosili wnioskodawc\u00f3w, aby korzystali wy\u0142\u0105cznie z narz\u0119dzi, kt\u00f3re nie zostan\u0105 wykryte przez \u017cadne oprogramowanie zabezpieczaj\u0105ce oraz do krytycznego poszukiwania system\u00f3w przechowywania plik\u00f3w i kopii zapasowych po uzyskaniu dost\u0119pu do sieci firmy.<\/p>\n

Wed\u0142ug badaczy z jednostki doradczej Gemini:<\/p>\n

\n

\u201eOd razu sta\u0142o si\u0119 jasne, \u017ce firma by\u0142a zaanga\u017cowana w dzia\u0142alno\u015b\u0107 przest\u0119pcz\u0105. Fakt, \u017ce przedstawiciele Bastion Secure byli szczeg\u00f3lnie zainteresowani systemami plik\u00f3w i kopiami zapasowymi, wskazuje, \u017ce FIN7 by\u0142 bardziej zainteresowany przeprowadzaniem atak\u00f3w ransomware ni\u017c infekcjami [punkt\u00f3w sprzeda\u017cy]".<\/p>\n<\/blockquote>\n

Badacz, kt\u00f3remu stanowisko zaproponowa\u0142a firma Bastion Secure, przeanalizowa\u0142 narz\u0119dzia, kt\u00f3re firma im dostarczy\u0142a. Oba zestawy narz\u0119dzi Carbanak i Tirion (Lizar) zosta\u0142y wcze\u015bniej przypisane do FIN7<\/strong> i oba mog\u0105 by\u0107 u\u017cywane do wdra\u017cania oprogramowania ransomware i hakowania system\u00f3w PoS. Ostatnio widzieli\u015bmy podobne ataki FIN8, FIN7 i FIN6. We wrze\u015bniu 2021 r. FIN8 wpu\u015bci\u0142 tylne drzwi ameryka\u0144skie organizacje finansowe za pomoc\u0105 z\u0142o\u015bliwego oprogramowania<\/a>.<\/p>\n

FIN7 Cyberprzest\u0119pcza grupa zidentyfikowana jako operatorzy Darkside Raas<\/h2>\n

Narz\u0119dzia udost\u0119pnione przez Bastion Secure wnioskodawcy (cz\u0142onkowi Gemini Advisory) by\u0142y powi\u0105zane ze szczepami z\u0142o\u015bliwego oprogramowania i by\u0142y cz\u0119\u015bci\u0105 arsena\u0142u FIN7, jak Carbanak i Lizar\/Tirion. Cz\u0142onek Gemini powiedzia\u0142 r\u00f3wnie\u017c, \u017ce zadania przydzielone wszystkim wnioskodawcom \u201eodpowiada\u0142y krokom podj\u0119tym w celu przygotowania ataku ransomware”.<\/p>\n

Wed\u0142ug Gemini Advisory firma zainstalowa\u0142a dwie odmiany oprogramowania ransomware Ryuk lub REvil<\/a><\/strong>, kt\u00f3re by\u0142y cz\u0119\u015bci\u0105 cyberatak\u00f3w FIN7 w ci\u0105gu ostatnich kilku lat.<\/p>\n

Wed\u0142ug badaczy bezpiecze\u0144stwa Microsoftu, nowsze ataki zosta\u0142yby wdro\u017cone na ransomware BlackMatter i DarkSide.\u00a0<\/strong>BlackMatter niedawno zaatakowa\u0142 Olympus<\/a>, giganta technologicznego, i ameryka\u0144sk\u0105 sp\u00f3\u0142dzielni\u0119 rolnik\u00f3w New Cooperative<\/a> Inc.<\/p>\n

Ponadto przedstawiciele Microsoftu Christopher Glyer i Nick Carr o\u015bwiadczyli, \u017ce FIN7 nie tylko wdro\u017cy\u0142 oprogramowanie ransomware DarkSide, ale tak\u017ce zarz\u0105dza\u0142 Darkside RaaS (Ransomware-as-a-Service).<\/p>\n

FIN7 obs\u0142ugiwane Combi Secure Wcze\u015bniej<\/h2>\n

Za\u0142o\u017cenie firmy ochroniarskiej nie by\u0142o now\u0105 taktyk\u0105 dla FIN7. Wykorzystali t\u0119 sam\u0105 taktyk\u0119 w 2010 roku, kiedy za\u0142o\u017cyli fa\u0142szyw\u0105 firm\u0119 ochroniarsk\u0105 o nazwie Combi Security.<\/p>\n

Jednak w tym czasie firma by\u0142a zaanga\u017cowana we wdra\u017canie z\u0142o\u015bliwego oprogramowania w punktach sprzeda\u017cy. Wykorzystali Combi Security, aby zatrudni\u0107 pracownik\u00f3w ochrony w celu w\u0142amania si\u0119 do r\u00f3\u017cnych sieci organizacji handlu detalicznego,<\/strong> po czym wdro\u017cyli do systemu z\u0142o\u015bliwe oprogramowanie PoS, aby wykra\u015b\u0107 dane kart kredytowych klient\u00f3w ze zhakowanych sieci, zgodnie z raportem US DoJ<\/a>.<\/p>\n<\/p>\n

Obraz: Rekord<\/p>\n

Brett Callow, ekspert od ransomware w Emisoft, twierdzi, \u017ce decyzja FIN7 o ukryciu si\u0119 za Bastion Secure prawdopodobnie pozwoli unikn\u0105\u0107 niepo\u017c\u0105danej uwagi ze strony prawa. Powiedzia\u0142 dalej:<\/p>\n

\n

\u201eWcale nie dziwi fakt, \u017ce cyberprzest\u0119pcza pr\u00f3ba rekrutacji odbywa si\u0119 za po\u015brednictwem fa\u0142szywej firmy. Zatrudnianie w ciemnej sieci jest problematyczne i ryzykowne. Gangi ransomware s\u0105 mniej mile widziane na niekt\u00f3rych forach cyberprzest\u0119pczych ni\u017c kiedy\u015b, a kandydaci mog\u0105 potencjalnie by\u0107 funkcjonariuszami organ\u00f3w \u015bcigania pracuj\u0105cymi pod przykrywk\u0105”.<\/p>\n<\/blockquote>\n

Wed\u0142ug Gemini Advisory, pow\u00f3d, dla kt\u00f3rego FIN7 do\u0142o\u017cy\u0142 wszelkich stara\u0144, aby stworzy\u0107 fa\u0142szyw\u0105 firm\u0119 nie tylko raz, ale dwa, ma zwi\u0105zek z pieni\u0119dzmi i kosztami operacyjnymi. To, co powiedzia\u0142 Callow, r\u00f3wnie\u017c ma sens, poniewa\u017c zatrudnianie z ciemnej sieci jest ryzykowne.<\/p>\n

Nie ma w\u0105tpliwo\u015bci, \u017ce pracownicy mog\u0105 by\u0107 wprowadzani w b\u0142\u0105d co do charakteru ich pracy i nie b\u0119d\u0105 w stanie zorientowa\u0107 si\u0119, \u017ce s\u0105 poddawani testom pi\u00f3rowym.<\/p><\/p>\n","protected":false},"excerpt":{"rendered":"

Gang cyberprzest\u0119pczy FIN7 zak\u0142ada na pocz\u0105tku tego roku fa\u0142szyw\u0105 firm\u0119, aby zatrudni\u0107 ekspert\u00f3w ds. bezpiecze\u0144stwa i badaczy do pomocy w atakach ransomware.<\/p>\n","protected":false},"author":1,"featured_media":401904,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_wp_rev_ctl_limit":""},"categories":[8551,8521,8561,8591,8479,8581,8602],"tags":[],"class_list":["post-295220","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-aktualnosci","category-ochrona-danych","category-ogolny","category-roznorodny","category-vpn-i-prywatnosc","category-wiadomosci-polityczne","category-wycieki"],"_links":{"self":[{"href":"https:\/\/vpn.inform.click\/pl\/wp-json\/wp\/v2\/posts\/295220","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/vpn.inform.click\/pl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vpn.inform.click\/pl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vpn.inform.click\/pl\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/vpn.inform.click\/pl\/wp-json\/wp\/v2\/comments?post=295220"}],"version-history":[{"count":0,"href":"https:\/\/vpn.inform.click\/pl\/wp-json\/wp\/v2\/posts\/295220\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/vpn.inform.click\/pl\/wp-json\/wp\/v2\/media\/401904"}],"wp:attachment":[{"href":"https:\/\/vpn.inform.click\/pl\/wp-json\/wp\/v2\/media?parent=295220"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vpn.inform.click\/pl\/wp-json\/wp\/v2\/categories?post=295220"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vpn.inform.click\/pl\/wp-json\/wp\/v2\/tags?post=295220"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}