Хакерска група наема рускоговорящи служители чрез фалшив сайт

Престъпна организация, за която се смята, че е изградила софтуера, който затвори горивопровода на САЩ, е създала фалшива компания за набиране на потенциални служители, според следователи от разузнавателната фирма Recorded Future и Microsoft Corp. 

Според разследващите органи, фалшивата компания използва името Bastion Secure. Престъпниците са създали професионално изглеждаща уебсайт компанията, която твърди, че предлага услуги за киберсигурност. Но операторът на сайта е добре позната хакерска група, наречена Fin7, казват Recorded Future и Microsoft пред Wall Street Journal.

Смята се, че Fin7 е хакнал стотици бизнеси, откраднал е повече от 20 милиона клиентски записи и е написал софтуера, използван при хакването, което е нарушило доставките на бензин в региони от Югоизточната част на САЩ, твърдят федерални прокурори и разследващи органи.

Уебсайтът Bastion Secure, който използва логото BS, предлага и работни места, които детайлно описана длъжностна характеристика, като по този начин се преструват, че извършват работа, която би се изпълнявала във всяка охранителна компания. Предлаганите работни позиции включват програмисти, системни администратори и хора, които са добри в намирането на грешки в софтуер. Потенциалните наети ще работят по девет часа на ден по предвидим график: от понеделник до петък, според уебсайта на компанията. Осигурени са и обедни почивки и паузи за кафе.

Опитът да се представя за легитимна компания за целите на набирането на персонал представлява ново развитие в сферата на кибератаките с ransomware. Този тип хакерски набези представляват бич, който смущава производството на месо, болничните грижи, образованието и стотици бизнеси. Със стотици милиони долари незаконни печалби операторите на ransomware все повече работят като криминални стартъпи с професионален персонал за поддръжка, разработка на злонамерени софтуери, създаване изчислителни облаци и връзки с медиите, казват експерти по киберсигурността.

Recorded Future сподели своите открития с The Wall Street Journal и планира да ги публикува в блога си в четвъртък. Представители на Microsoft представиха откритието си по-рано този месец на конференция, организирана от фирмата за киберсигурност Mandiant.

Имейлите, които следователите са изпратили до адрес, посочен на уебсайта на Bastion Secure, останаха без отговор. На телефонно обаждане до израелски номер, посочен в сайта, отговори мъж, който говори руски. „Аз съм просто обикновен човек. Нямам нищо общо с никаква компания за киберсигурност“, каза той, преди да затвори.

Усилията за “набиране кадри” изглежда са съсредоточени върху рускоговорящите, заявиха разследващите. Докато престъпниците традиционно са действат в сянка, набират партньори в криминални форуми, исканията на разрастващия се бизнес на Fin7 изглежда са ги подтикнали да вербуват на открито.

„Можете да намерите по-квалифицирани хора, когато търсите по-широкообхватно“, казва Андрей Барисевич, ръководител на Gemini Advisory, отдел на Recorded Future. „В dark web има много интегрирани служители на реда.“

Fin7 са хакнали хиляди компютърни системи и от години се фокусират върху кражба и продажба на данни от кредитни и дебитни карти. Групата от 70 души е отговорна за повече от 3 милиарда долара щети на компании и физически лица, казват федералните прокурори.

Хакерската организация наскоро премина от кражба на банкова информация към ransomware, а сега предлага цяла услуга за киберизнудване и извършва прониквания във всякакъв вид системи, за да инсталират софтуер за криптиране на файлове, казва Ник Кар, анализатор по сигурността в Microsoftt.

Microsoft вярва, че Fin7 е произвел софтуера, използван в хака, който спря дейността на Colonial Pipeline Co. през пролетта. Смята се, че действителното хакване е извършено от престъпен филиал на Fin7. Хакерската група пусна на пазара своя ransomware бизнес под името DarkSide, но впоследствие сменят името на BlackMatter, казват следователите.

Рекламираните от Bastion Secure работни места в областта на информационните технологии предлагат заплати между 800 и 1200 долара на месец. Това е прилично заплащане в бивши съветски страни като Украйна, но „малка част от парите, които киберпресъпниците припечелват. Това се казва доклада Recorded Future.

В понеделник три федерални агенции – Агенцията за киберсигурност и инфраструктурна сигурност, Федералното бюро за разследване и Агенцията за национална сигурност – публикуваха специално становище, в което се обяснява как компаниите могат да се защитят от организации като BlackMatter и предупреждавайки, че през последните месеци ransomware атаките „са насочен към множество обекти от национално значение в Америка, включително две организации в сектора на храните и селското стопанство в САЩ.

Bastion Secure не е първата фалшива компания, която Fin7 използва за набиране на служители. През август 2015 г. тя използва друга фалшива компания за киберсигурност, наречена Combi Security, за да назначи украинец на име Федир Гладир за системен администратор, според федералните прокурори.

Гладир е осъзнал, че е участва в престъпно предприятие месеци след наемането му, според адвоката му Аркадий Бух. Юристът заяви, че Fin7 е разделил бизнеса си, за да държи различните си служители в неведение за престъпната дейност на групата. „На един етап някои от тях разбират какво реално се случва“, каза адвокатът. "Понякога обаче не."

Г-н Хладир поддържаше комуникационните сървъри на Fin7, както и световна мрежа от сървъри, използвани за стартиране и управление на кибератаки, според федералните прокурори. След като се призна за виновен по хакерски обвинения, той беше осъден на 10 години затвор през април.

С Bastion Secure компанията предлага оферти на потенциални служители, казват разследващите органи. Изследователите на Microsoft успяха да намерят копие от трудов договор на Bastion Secure, изпратен до потенциален служител. „Ако всъщност работите там, не трябва да говорите за това.“, каза Ник Кар.

Не отнема много време един потенциален кандидат за работа в областта на информационните технологии да забележи, че нещо не е наред, казва г-н Барисевич от Recorded Future, чиято фирма твърди, че е разговаряла с потенциалния служител. Първият сигнал е, че никой от компанията няма да се срещне лице в лице или да разговаря по телефона с вас. Вместо това те ще комуникират само чрез криптираните чат приложения като Telegram или Tox, според Recorded Future.

По-късно на новонаетите служители се изпраща софтуер, който от Bastion Secure му казат, че ще използва по време на работа. Той бива помолен да се свърже с това, което хакерите наричат „клиентска“ мрежа и да събира информация, но не му се казва защо или как ще се използва тази мрежа. Тази клиентска мрежа и всякакви други инструменти, които новият служител ще получи, са всъщност хакерските “инструменти”, които анализът на Recorded Future свързва с групата Fin7.

Голяма част от текста на уебсайта Bastion Secure изглежда е копиран дума по дума от реална британска компания за киберсигурност Convergent Network Solutions Ltd, казват следователи. Говорител на Convergent заяви, че компанията третира сайта Bastion Secure като „злонамерен уебсайт“ и предприема стъпки за премахването му.

Описанието в уебсайтът твърди, че Том Дийви е управляващ директор на Bastion Secure. Г-н Дийви, посочен на сайта, не е бил намерен за коментар. Такъв човек, на име Том Дийви, реално има. Той е управляващ директор на компания, наречена Bastion Security Products Ltd., която се занимава с изграждане на паник стаи и други защитни съоръжения.

„Това е пълна лъжа“, твърди Том Дийви. „Никога не сме се занимавали с нищо в света на киберсигурността.“