Поделиться
Хакеры втемную используют российских программистов для атак на бизнес
Кибергруппировка FIN7 создала мнимую фирму по кибербезопасности и распространила объявления о найме по российским и украинским сайтам для поиска работы. По-видимому, они собирались использовать специалистов втемную для проведения реальных атак под видом пентестов.
Имя им «Бастион»
Российская киберкриминальная группировка FIN7 создала фальшивую фирму по информационной безопасности в надежде нанять профессионалов, чтобы использовать их втемную для проведения кибератак.
Эксперты группы Gemini Advisory обнаружили некую подозрительную компанию под названием Bastion Secure, чей сайт целиком состоял из украденного и перекомпонованного контента других веб-ресурсов. В информационном разделе утверждалось, что компания базируется в Англии, однако сервер, на котором располагается сайт, выдавал сообщения об ошибках 404 (несуществующие разделы) на русском языке.
Кроме того, в информационном разделе содержалось утверждение, что Bastion является дочерним предприятием реально существующей фирмы по кибербезопасности Convergent Network Solutions. Пока неизвестно, в курсе ли Convergent о появлении у них такого «дочернего предприятия».
В разделе вакансий Bastion (или FIN7) предлагались позиции программистов на C/C++, PHP и Python, системных администраторов Windows и специалистов по обратной разработке. Обещанная зарплата составляла от $800 до $1200 в месяц.
Неназванный эксперт, проинформировавший Gemini об этих вакансиях, сообщил, что отправил в Bastion свое резюме и был принят на работу. Ему даже открыли доступ к внутреннему инструментарию Bastion. На поверку оказалось, что это широко известные специалистам по ИБ средства пост-эксплуатации (развития атаки после изначальной компрометации системы) Carbanak и Lizar/Tirion. Различные группы исследователей уже неоднократно ассоциировали Carbanak и Lizar/Tirion с деятельностью группировки FIN7.
Нанятым работникам их представляли как «менеджер команд». Судя по скриншоту, который приводится в блоге Gemini Advisory, интерфейс этой панели управления весь на русском языке.
Реальные атаки под видом пентеста
Работнику предоставлялся доступ к внутренним ресурсам сторонней компании (якобы клиента, заказавшего услуги пентестеров), после чего предлагалось собрать информацию об аккаунтах с административными полномочиями, резервных копиях и пр., то есть, обо всем, что интересует операторов будущей атаки с помощью шифровальщиков.
Источник Gemini запросил юридическую документацию на пентест, но ничего не получил, из чего сделал окончательный вывод о криминальной природе своего нанимателя.
Как указывается в публикации Gemini, помимо собственного сайта, Bastion/FIN7 опубликовали вакансии на множестве легитимных сайтов по поиску работы в России и на Украине (например, Superjob.ru и Rabota.ua). На сайте Zoon.ru даже было размещено целое досье с указанием физического адреса: Пресненская набережная, 12. Это башня «Федерация». Между тем, на сайте Bastion Secure говорится, что московский офис компании якобы располагается в башне «Империя» (Пресненская набережная, 6, стр. 2), хотя адрес указан тот же.
В сервисе «Яндекс.карты» фирма Bastion Secure по указанным адресам не значится.
«Хотя нет ничего нового в попытках киберпреступных групп нанимать людей на легитимных сайтах по поиску работы, размах и наглость, с которыми действует FIN7, явственно превосходит поведение других киберкриминальных группировок... Решение нанимать работников для использования втемную вместо поиска подельников в даркнете, по-видимому, связано с банальной жадностью. С теми, кто сотрудничает сознательно, FIN7 пришлось бы делиться процентом от сумм выкупа, которые могут составлять миллионы долларов, в то время как ничего не подозревающие наемные работники готовы были бы трудиться за ежемесячную зарплату в районе тысячи долларов. Это примерный размер зарплат на рынках пост-советских стран», — говорится в публикации Gemini.
К настоящему моменту Google Chrome маркирует сайт Bastion Secure как вредоносный.
«Характерно, что группировка пытается нанимать в первую очередь именно программистов и системных администраторов, а не экспертов по информационной безопасности, — говорит Данила Каревский, эксперт по информационной безопасности компании SEQ. — Специалист мог бы опознать, и в описываемом случае действительно опознал, инструментарий FIN7, даже и слегка замаскированный. Кроме того, услуги тестирования на проникновение всегда оказываются с большим количеством юридически заверенных условий, с которыми должны знакомиться и непосредственные исполнители. Если работодатель не предоставляет документы, это признак криминала».
Поделиться
Короткая ссылка
