Банда кіберзлочинців створює фальшиву компанію, щоб набирати експертів з безпеки для кібератак
FIN7, російська хакерська група, на початку 2021 року заснувала фальшиву охоронну організацію під назвою Bastion Secure і використала її, щоб заманити працівників кібербезпеки, найняти їх, а потім обдурити їх, щоб вони допомагали в атаках програм-вимагачів. Компанія стверджує, що надає послуги кібербезпеки державним секторам і приватним організаціям по всьому світу.
Підрозділ Recorded Future, Gemini Advisory, провів розслідування і виявив, що компанія прикриває хакерську групу FIN7, яка використовувала веб-сайт Bastion Secure для розміщення оголошень про роботу на різних російських порталах вакансій, бажаючи найняти технологічних працівників на кілька посад.
Зображення: The Record
Згідно з оголошеннями на своєму веб-сайті, FIN7 найняв програмістів PHP, системних адміністраторів, Python, C++ та реверс-інженерів.
Один із Gemini Advisory пройшов весь процес набору для вивчення компанії, і всі люди, які подали заявку, пройшли процес співбесіди, що включає три етапи:
Хоча загалом процес співбесіди здавався трохи темним, останній етап фактично видавав це. Gemini Advisory заявила, що не було документів, що дозволяють проводити тести на проникнення на 3-му етапі, що зазвичай є звичайним.
Крім того, представники компанії попросили заявників використовувати лише ті інструменти, які не будуть виявлені жодним програмним забезпеченням безпеки, і критично шукати системи зберігання файлів і резервні копії після того, як вони входять до мережі компанії.
За словами дослідників Gemini Advisory Unit:
«Одразу стало зрозуміло, що компанія причетна до злочинної діяльності. Той факт, що представники Bastion Secure були особливо зацікавлені у файлових системах і резервних копіях, свідчить про те, що FIN7 більше зацікавлений у проведенні атак із програмним забезпеченням-вимагачем, ніж у зараженні [точки продажу]».
Дослідник, якому запропонувала посаду компанія Bastion Secure, проаналізував інструменти, які їм надала компанія. Обидва набори інструментів Carbanak і Tirion (Lizar) раніше були віднесені до FIN7, і обидва можна використовувати для розгортання програм-вимагачів і злому систем PoS. Нещодавно ми бачили подібні атаки з боку FIN8, FIN7 та FIN6. У вересні 2021 року FIN8 заблокував фінансові організації США зловмисним програмним забезпеченням.
Група кіберзлочинів FIN7 ідентифікована як оператор Darkside Raas
Інструменти, якими Bastion Secure поділився із заявником (членом Gemini Advisory), були пов'язані зі штамами шкідливих програм і були частиною арсеналу FIN7, як-от Carbanak і Lizar/Tirion. Учасник Gemini також сказав, що завдання, покладені на всіх заявників, «відповідали крокам, вжитим для підготовки атаки програм-вимагачів».
За даними Gemini Advisory, компанія встановила два штами програм-вимагачів Ryuk або REvil, які були частиною кібератак FIN7 протягом останніх кількох років.
За словами дослідників безпеки Microsoft, нові атаки мали б бути розгорнуті на програми-вимагачі BlackMatter і DarkSide. BlackMatter нещодавно атакував Olympus, технологічний гігант і американський фермерський кооператив New Cooperative Inc.
Крім того, представник Microsoft Крістофер Глайер і Нік Карр заявили, що FIN7 не лише розгортає програму-вимагач DarkSide, а й керує Darkside RaaS (Ransomware-as-a-Service).
Раніше FIN7 працював Combi Secure
Створення охоронної фірми не було новою тактикою для FIN7. Таку ж тактику вони застосували ще в 2010 році, коли створили фальшиву охоронну фірму під назвою Combi Security.
Однак у той час компанія займалася розгортанням шкідливого програмного забезпечення Point-of-Sale. Згідно зі звітом Міністерства юстиції США, вони використовували Combi Security, щоб найняти працівників служби безпеки, щоб зламати різні мережі роздрібної торгівлі, після чого вони розгорнули шкідливе програмне забезпечення PoS в систему, щоб викрасти дані кредитних карт клієнтів зі зламаних мереж .
Зображення: The Record
Бретт Келлоу, експерт з програм-вимагачів з Emisoft, який вирішив сховатися за Bastion Secure, ймовірно, уникне небажаної уваги з боку закону. Далі він сказав:
«Зовсім не дивно, що кіберзлочинна операція намагається завербувати через підроблену компанію. Наймати з темної мережі проблематично та ризиковано. На певних форумах кіберзлочинності не так вітаються банди програм-вимагачів, ніж колись, і заявники потенційно можуть бути співробітниками правоохоронних органів, які працюють під прикриттям».
За даними Gemini Advisory, причина, чому FIN7 пішла так далеко, щоб створити фальшиву компанію не лише раз, а й двічі, пов’язана з грошима та операційними витратами. Те, що сказав Келлоу, також має великий сенс, оскільки наймати з темної мережі ризиковано.
Це безсумнівно, оскільки співробітники можуть бути введені в оману щодо характеру своєї роботи і не зможуть усвідомити, що їх перевіряють.