Хакеры втемную используют российских программистов для атак на бизнес

0
35

Имя им «Бастион»

Российская киберкриминальная группировка FIN7 создала фальшивую фирму по информационной безопасности в надежде нанять профессионалов, чтобы использовать их втемную для проведения кибератак.

Эксперты группы Gemini Advisory обнаружили некую подозрительную компанию под названием Bastion Secure, чей сайт целиком состоял из украденного и перекомпонованного контента других веб-ресурсов. В информационном разделе утверждалось, что компания базируется в Англии, однако сервер, на котором располагается сайт, выдавал сообщения об ошибках 404 (несуществующие разделы) на русском языке.

Кроме того, в информационном разделе содержалось утверждение, что Bastion является дочерним предприятием реально существующей фирмы по кибербезопасности Convergent Network Solutions. Пока неизвестно, в курсе ли Convergent о появлении у них такого «дочернего предприятия».

В разделе вакансий Bastion (или FIN7) предлагались позиции программистов на C/C++, PHP и Python, системных администраторов Windows и специалистов по обратной разработке. Обещанная зарплата составляла от $800 до $1200 в месяц.

Хакеры втемную используют российских программистов для атак на бизнес

Хакеры пытаются втемную нанимать экспертов по информационной безопасности

Неназванный эксперт, проинформировавший Gemini об этих вакансиях, сообщил, что отправил в Bastion свое резюме и был принят на работу. Ему даже открыли доступ к внутреннему инструментарию Bastion. На поверку оказалось, что это широко известные специалистам по ИБ средства пост-эксплуатации (развития атаки после изначальной компрометации системы) Carbanak и Lizar/Tirion. Различные группы исследователей уже неоднократно ассоциировали Carbanak и Lizar/Tirion с деятельностью группировки FIN7.

Нанятым работникам их представляли как «менеджер команд». Судя по скриншоту, который приводится в блоге Gemini Advisory, интерфейс этой панели управления весь на русском языке.

Реальные атаки под видом пентеста

Работнику предоставлялся доступ к внутренним ресурсам сторонней компании (якобы клиента, заказавшего услуги пентестеров), после чего предлагалось собрать информацию об аккаунтах с административными полномочиями, резервных копиях и пр., то есть, обо всем, что интересует операторов будущей атаки с помощью шифровальщиков.

Источник Gemini запросил юридическую документацию на пентест, но ничего не получил, из чего сделал окончательный вывод о криминальной природе своего нанимателя.

Разделяй и зарабатывай: сегментация сети создает новые источники дохода Телеком

Хакеры втемную используют российских программистов для атак на бизнес

Как указывается в публикации Gemini, помимо собственного сайта, Bastion/FIN7 опубликовали вакансии на множестве легитимных сайтов по поиску работы в России и на Украине (например, Superjob.ru и Rabota.ua). На сайте Zoon.ru даже было размещено целое досье с указанием физического адреса: Пресненская набережная, 12. Это башня «Федерация». Между тем, на сайте Bastion Secure говорится, что московский офис компании якобы располагается в башне «Империя» (Пресненская набережная, 6, стр. 2), хотя адрес указан тот же.

В сервисе «Яндекс.карты» фирма Bastion Secure по указанным адресам не значится.

«Хотя нет ничего нового в попытках киберпреступных групп нанимать людей на легитимных сайтах по поиску работы, размах и наглость, с которыми действует FIN7, явственно превосходит поведение других киберкриминальных группировок… Решение нанимать работников для использования втемную вместо поиска подельников в даркнете, по-видимому, связано с банальной жадностью. С теми, кто сотрудничает сознательно, FIN7 пришлось бы делиться процентом от сумм выкупа, которые могут составлять миллионы долларов, в то время как ничего не подозревающие наемные работники готовы были бы трудиться за ежемесячную зарплату в районе тысячи долларов. Это примерный размер зарплат на рынках пост-советских стран», — говорится в публикации Gemini.

К настоящему моменту Google Chrome маркирует сайт Bastion Secure как вредоносный.

«Характерно, что группировка пытается нанимать в первую очередь именно программистов и системных администраторов, а не экспертов по информационной безопасности, — говорит Данила Каревский, эксперт по информационной безопасности компании SEQ. — Специалист мог бы опознать, и в описываемом случае действительно опознал, инструментарий FIN7, даже и слегка замаскированный. Кроме того, услуги тестирования на проникновение всегда оказываются с большим количеством юридически заверенных условий, с которыми должны знакомиться и непосредственные исполнители. Если работодатель не предоставляет документы, это признак криминала».

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь