Hackeři založili falešnou společnost, aby najali IT experty pro nasazování ransomwaru
Zpět na blogSkupina kyberzločinců FIN7 prostřednictvím fiktivní společnosti Bastion Secure, která se měla zabývat kybernetickou bezpečností, najímala softwarové inženýry pod záminkou penetračního testování. Ve skutečnosti však kyberzločinci zneužívali schopnosti nic netušících lidí ke svým nelegálním praktikám. Nejde přitom o první takový případ, za kterým stojí FIN7.
V případě nejnovější falešné společnosti využila skupina pravdivé, veřejně dostupné informace od různých existujících kyberbezpečnostních společností, aby vytvořila dojem legitimity. „Společnost FIN7 používá dezinformační taktiku, takže pokud by si potenciální zájemce chtěl ověřit fakta o společnosti Bastion Secure, pak by zběžné vyhledávání na Googlu vrátilo ‚pravdivé‘ informace o společnostech s podobným názvem nebo odvětvím jako smyšlená společnost Bastion Secure skupiny FIN7,“ uvedla ve své zprávě poradenská jednotka Gemini společnosti Recorded Future. Kromě toho, že se aktér vydává za právnickou osobu, dalším krokem, který mu má dodat punc autenticity, je skutečnost, že jedna z adres kanceláří společnosti se shoduje s adresou již zaniklé společnosti se sídlem ve Velké Británii s názvem Bastion Security (North) Limited.
Skupina FIN7, známá také pod názvy Carbanak, Carbon Spider a Anunak, má na kontě řadu útoků – například infikovala malwarem systémy prodejních míst (POS) určených ke sběru čísel kreditních a debetních karet, která byla následně využívána nebo prodávána na hackerských tržištích. Nejnovější vývoj ukazuje expanzi skupiny do vysoce ziskového prostředí ransomwaru.
Zakládání falešných krycích společností je osvědčená metoda FIN7 – již dříve byla skupina spojována s jinou falešnou kyberbezpečnostní firmou s názvem Combi Security, která tvrdila, že nabízí služby penetračního testování. Kauza se společností Bastion Secure pokračuje v této taktice.
Nejenže nové webové stránky obsahují ukradený obsah sestavený od jiných legitimních firem zabývajících se kybernetickou bezpečností – především Convergent Network Solutions – ale provozovatelé rovněž na populárních pracovních portálech inzerovali zdánlivě skutečné náborové inzeráty poptávající programátory v jazycích C++, PHP a Python, systémové administrátory a reverzní inženýry a nabízeli jim během přijímacího pohovoru několik nástrojů pro cvičné úkoly.
Tyto nástroje byly analyzovány a zjistilo se, že jde o součásti post-exploatačních sad nástrojů Carbanak a Lizar/Tirion, které skupina dříve používala při útocích, a které lze využít ke kompromitaci pokladních systémů a nasazení ransomwaru.
Právě v další fázi náborového procesu se projevilo zapojení Bastion Secure do trestné činnosti, a to tím, že zástupci společnosti poskytli přístup do sítě údajné klientské společnosti a požádali potenciální kandidáty o shromáždění informací o správcích domén, souborových systémech a zálohách, což nápadně připomíná vytváření prostoru pro ransomwarový útok.
„Nabídky společnosti Bastion Secure na pozice IT specialistů se pohybovaly mezi 800 a 1 200 dolary měsíčně, což je v zemích bývalého východního bloku reálný nástupní plat pro tento typ pozice,“ uvedli výzkumníci. „Tento ‚plat‘ by však představoval jen malý zlomek podílu kyberzločince na ziscích z trestné činnosti z úspěšného vydírání ransomwarem nebo rozsáhlé operace krádeže platebních karet. Tím, že platí nevědomým ‚zaměstnancům‘ mnohem méně, než by museli platit informovaným zločineckým komplicům […] schéma falešné společnosti umožňuje provozovatelům získat talenty, které skupina potřebuje k provádění svých zločineckých aktivit, a zároveň si ponechat větší podíl na zisku,“ dodali výzkumníci.
Ačkoli kyberzločinci hledající nevědomé komplice na legitimních pracovních stránkách nejsou žádnou novinkou, samotný rozsah a neomalenost, s jakou FIN7 operuje, nadále podle odborníků překonává chování, které vykazují jiné kyberzločinecké skupiny.
Zdroj: The Hacker News
3. 11. 2021