Social media
Gang ransomware rekrutował „pracowników” udając firmę z sektora IT
Gang ransomware, którego działalność łączy się m.in. z cyberatakiem na rurociąg Colonial Pipeline z lipca tego roku, rekrutował „pracowników” podając się za firmę z sektora IT. Mieli oni pomóc cyberprzestępcom w realizacji kolejnej kampanii ataków - uważają badacze bezpieczeństwa z firm Microsoft i Recorded Future.
Firma, którą wymyślili członkowie cybergangu, nazywała się Bastion Secure. Powstała dla niej nawet cała witryna internetowa o bardzo profesjonalnym wyglądzie, na której można było przeczytać ofertę usług z zakresu cyberbezpieczeństwa, jakie rzekomo oferowała spółka. Po drugiej stronie znajdowało się jednak nie przedsiębiorstwo, a grupa cyberprzestępca znana jako Fin7.
Nie tylko rurociąg paliwowy
Dziennik „Wall Street Journal” przypomina, że grupa ta, oprócz zhakowania rurociągu Colonial Pipeline w lipcu tego roku, co doprowadziło do jego wyłączenia i braków paliwa w części Stanów Zjednoczonych, ma na swoim koncie wiele innych ataków. Jej członkowie w przeszłości mieli zhakować setki firm, wykraść dane ponad 20 mln ich klientów, a także tworzyć oprogramowanie, które posłużyło do słynnego już cyberataku na rurociąg.
Jaką „pracę” oferowali cyberprzestępcy?
Na stronie „firmy” Bastion Secure znajdowała się zakładka z ofertami pracy, wśród których znajdowały się wakaty na rzekome stanowiska zakresem obowiązków bardzo zbliżone do standardowych ofert pracy w branży. Bastion Secure poszukiwało programistów, administratorów systemów i testerów oprogramowania, którzy mieli „pracować” od poniedziałku do piątku przez dziewięć godzin z przerwą na obiad.
Eksperci: to nowość
Według specjalistów, z którymi rozmawiał „WSJ”, podszywanie się cybergangu pod firmę z sektora cyberbezpieczeństwa to nowy sposób działania, przynajmniej w przypadku grup posługujących się ransomware. Tendencja profesjonalizacji cyberprzestępczości jest jednak dostrzegalna i wpisuje się w szerszy trend - gangi dobrze zarabiają na swojej działalności i coraz częściej przypominają „startupy”, które zatrudniają profesjonalne kadry z zakresu backendu, rozwoju oprogramowania, a także specjalistów od technologii chmurowych, a nawet… komunikacji i relacji z mediami.
Wynagrodzenia wahały się od 800 do 1200 dolarów miesięcznie, co w krajach takich jak państwa należące do byłego bloku sowieckiego wcale nie jest małą pensją - ocenia dziennik, wskazując m.in. na Ukrainę.
Dziennik próbował skontaktować się z Bastion Secure korzystając z danych zamieszczonych na stronie. E-maile pozostały jednak bez odpowiedzi, a telefon z numerem kierunkowym do Izraela odebrał mężczyzna mówiący po rosyjsku, który powiedział, że jest prywatną osobą i nie ma nic wspólnego z jakąkolwiek firmą z branży cyberbezpieczeństwa - pisze gazeta.
Gang zatrudniał przede wszystkim osoby rosyjskojęzyczne
Według firm Recorded Future i Microsoft, działania gangu zmierzające do pozyskania „pracowników” koncentrowały się przede wszystkim na kadrach rosyjskojęzycznych. Fin7 musiał jednocześnie działać pod presją czasu i braku kompetencji - jak wskazują eksperci, cyberprzestępcy zazwyczaj rekrutują w cieniu, wykorzystując fora hakerskie i darknet, jednakże w tym wypadku zdecydowali się na działania w świetle dnia.
Zdaniem Recorded Future, rekrutacja w otwartym internecie ma jeszcze inne zalety - pozwala uniknąć organów ścigania, których agentów pełno jest w społecznościach zrzeszających cyberprzestępców w darknecie.
To nie pierwszy raz, kiedy Fin7 korzysta z tego sposobu działania
„WSJ” podaje, że Bastion Secure nie jest pierwszą fikcyjną firmą z branży cyberbezpieczeństwa, którą stworzył na swoje potrzeby ten gang.
W sierpniu 2015 roku grupa posługiwała się nazwą handlową Combi Security, aby podjąć współpracę z pochodzącym z Ukrainy administratorem systemów Fedirem Hladyrem. Hladyr długo nie zorientował się, że jest uczestnikiem nielegalnych działań. Według zeznań, które złożył w prokuraturze, Fin7 dbał o to, aby żaden z „pracowników” nie zorientował się, na czyją rzecz tak naprawdę świadczą pracę. Niektórzy domyślali się z biegiem czasu, inni nie.
Hladyr był odpowiedzialny za utrzymanie serwerów gangu, wykorzystywanych do przeprowadzania cyberataków i zarządzania nimi. W kwietniu otrzymał wyrok 10 lat pozbawienia wolności.
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.
Haertle: Każdego da się zhakować
Materiał sponsorowany