Sajber kriminalci imaju novu taktiku - evo kako i zašto preko lažnih firmi zapošljavaju stručnjake za bezbednost

Vesti, 22.10.2021, 11:00 AM

Kriminalna grupa FIN7 otvorila je firmu koju koristi za angažovanje stručnjaka za sajber bezbednost, koji na prevaru sajber-kriminalcima zapravo pomažu u napadima ransomwarea.

Firma “Bastion Secure” tvrdi da pruža usluge testiranja penetracije za privatne kompanije i javni sektor širom sveta.

Ali prema istraživanju Gemini Advisory, veb sajt firme Bastion Secure je paravan koji grupa FIN7 koristi da bi na ruskim portalima za zapošljavanje postavljala oglase za posao za stručnjake za sajber bezbednost za različite pozicije. Oglasi otkrivaju da FIN7 želi da angažuje stručnjake za reverzni inžinjering, sistem administratore, C++, Python i PHP programere.

Oni koji su se prijavili prošli su kroz proces intervjuisanja u tri faze. Jedan od saradnika Gemini Advisory tima prošao je kroz taj proces kako bi saznao kako funkcioniše firma koja se učinila sumnjivom.

U prvoj fazi, kandidata intervjuiše neko iz firme ko je zadužen za ljudske resurse, a razgovor se obično obavlja preko Telegrama. Nakon toga, kandidatima je rečeno da potpišu ugovor o tajnosti podataka i konfigurišu svoj računar instaliranjem nekoliko virtuelnih mašina i otvaranjem određenih portova. U drugoj fazi, kandidati su od lažne firme dobili legitimne alate za testiranje penetracije kako bi obavili niz zadataka. U poslednjoj fazi, kandidati su učestvovali u „pravom“ zadatku gde im je rečeno da sprovedu test penetracije protiv jednog od klijenata Bastion Securea.

Gemini Advisory je rekao da ovaj poslednji korak u procesu intervjuisanja nije uključivao bilo kakav pravni dokument koji dozvoljava testove penetracije, kao što je uobičajeno u takvim slučajevima, niti objašnjenja učesnicima testiranja.

Predstavnici Bastion Securea su rekli kandidatima da koriste samo posebne alate koje sigurnosni softver neće otkriti i da traže rezervne kopije i sisteme za skladištenje fajlova kad se nađu u mreži kompanije.

Alati koje je od Bastion Securea dobio Geminijev saradnik koji je učestvovao u intervjuu povezani su sa malverima poput Carbanak i Lizar/Tirion, alata koji su nekada bili deo arsenala grupe FIN7. Zadaci koje su dobili kandidati za posao „odgovarali su koracima preduzetim za pripremu napada ransomwera“, rekao je Gemini Advisory.

FIN7 je ranije koristio ransomware što je Ryuk ili REvil, a u novijim napadima primenjivali su DarkSide i BlackMatter ransomware.

Lažna firma za zaštitu nije novost za grupu FIN7, koja je uradila istu stvar sredinom protekle decenije kada je imala drugu lažnu firmu pod nazivom Combi Security. Razlika je samo u tome što je grupa u to vreme prvenstveno radila sa Point-of-Sale malverima a firmu je koristila za angažovanje testera penetracije ali za mreže maloprodaja, a zatim bi instalirala PoS malver da bi prikupljala podatke o platnim karticama sa hakovanih mreža.

Razlog zašto FIN7 na ovakav način angažuje saradnike, preko lažne firme, su troškovi, kažu istraživači. Jeftinije je angažovati stručnjaka nego druge hakerske grupe ili hakere preko hakerskih foruma. Takav stručnjak u Rusiji obično zarađuje između 800 i 1.200 dolara mesečno, kaže Gemini Advisory, dok bi hakeri verovatno tražili procenat od otkupa koji plaćaju žrtve ransomwarea, što u nekim slučajevima znači da bi saradnici grupe zaradili milione dolara.