محققان امنیتی دریافتند که FIN7 ، یک گروه هک روسی با انگیزه مالی ، یک شرکت جعلی تاسیس کرده است تا متخصصان ناخواسته فناوری اطلاعات را به منظور حمایت از ادامه گسترش آن در باج افزارها فریب دهد.
به گفته محققان واحد مشاوره جوزا Recorded Future ، FIN7-که به دلیل هک شدن در رجیسترهای فروش و سرقت بیش از 1 میلیارد دلار از میلیون ها کارت اعتباری معروف است-اکنون تحت عنوان Bastion Secure ، که ادعا می کند بخش دولتی تخصصی ارائه می دهد ، فعالیت می کند. خدمات امنیت سایبری
وب سایت Bastion Secure به نظر می رسد معامله واقعی باشد. اما این تحقیق نشان داد که FIN7 از اطلاعات واقعی و در دسترس عموم از شرکت های امنیتی مجازی و قانونی موجود – شماره تلفن ، محل دفتر و متن برگرفته از وب سایت های واقعی – برای ایجاد حجاب مشروعیت استفاده می کند. وب سایت Bastion ادعا می کند که در سال 2016 در جوایز SC Magazine “بهترین سرویس امنیتی مدیریت شده” را از آن خود کرد و بازوی مشاوره این شرکت جعلی توسط Six Degrees در سال 2016 خریداری شد. هیچکدام صحت ندارند.
تجزیه و تحلیل Recorded Future از وب سایت شرکت جعلی نشان داد که این وب سایت تا حد زیادی از وب سایت Convergent Network Solutions ، یک شرکت امنیت سایبری قانونی کپی شده است. محققان گفتند که این سایت در ثبت کننده دامنه روسی Beget ، که مجرمان سایبری اغلب از آن استفاده می کنند ، میزبانی شده است و برخی از زیرمنوهای وب سایت این شرکت جعلی خطایی به نام “صفحه پیدا نشد” به زبان روسی باز می گرداند ، که به گفته محققان می تواند نشان دهد که این سایت سازندگان روسی زبان بودند.
در زمان نگارش این مقاله ، Chrome و Safari دسترسی به سایت “فریبنده” را مسدود کرده اند.
خال های تبلیغاتی Bastion Secure همانند وب سایت ، به اندازه کافی مشروع به نظر می رسند. این شرکت ساختگی به دنبال برنامه نویسان ، مدیران سیستم و مهندسین معکوس است و شرح وظایف مشابه آنچه در هر شرکت امنیت سایبری پیدا می کنید ، است.
اما Recorded Future گفت که FIN7 – تحت عنوان Bastion Secure – به دنبال ایجاد یک “کارمند” قادر به انجام وظایف لازم برای انجام طیف وسیعی از فعالیت های جنایت سایبری است.
محققان دریافتند: “با توجه به افزایش علاقه FIN7 به باج افزار ، Bastion Secure به طور خاص به دنبال مدیران سیستم است زیرا فردی با این مجموعه مهارت قادر خواهد بود.”
روند مصاحبه همچنین زنگ خطر را برای محققان به صدا درآورد. در حالی که مراحل اول و دوم هیچ نشانه ای مبنی بر اینکه Bastion Secure یک عملیات مجرمانه سایبری را پنهان می کند ، نشان نمی دهد ، مرحله سوم – که در آن کارمندان آینده وظیفه “واقعی” را بر عهده داشتند – آن را واگذار کردند.
محققان می گویند: “بلافاصله مشخص شد که این شرکت در فعالیت های مجرمانه دست داشته است.” “این واقعیت که نمایندگان Bastion Secure علاقه خاصی به سیستم فایل ها داشتند و سیگنال های پشتیبان گیری را نشان می داد که FIN7 بیشتر به حملات باج افزار علاقه مند بود تا [point of sale] عفونت ها. ”
یکی از محققان ثبت شده آینده که به عنوان محقق فناوری اطلاعات در Bastion Secure پیشنهاد شد ، ابزارهای ارائه شده توسط این شرکت را مورد تجزیه و تحلیل قرار داد و متوجه شد که این ابزارها اجزای تشکیل دهنده ابزارهای پس از بهره برداری Carbanak و Tirion (Lizar) هستند. هر دو مجموعه ابزار قبلاً به FIN7 نسبت داده شده اند و می توانند برای هک کردن هر دو سیستم فروش و استقرار باج افزار استفاده شوند.
Recorded Future می گوید: “تصمیم FIN7 برای استفاده از یک شرکت امنیت سایبری جعلی برای استخدام متخصصان فناوری اطلاعات به دلیل فعالیت مجرمانه آن ناشی از تمایل FIN7 به نیروی کار ماهر نسبتاً ارزان است.” “پیشنهادات شغلی Bastion Secure برای موقعیت های متخصص فناوری اطلاعات بین 800 تا 1200 دلار در ماه متغیر است ، که یک حقوق اولیه مناسب برای این نوع موقعیت در کشورهای پس از شوروی است … در واقع ، طرح شرکت جعلی FIN7 به اپراتورهای FIN7 این امکان را می دهد استعدادی که این گروه برای انجام فعالیت های جنایتکارانه خود نیاز دارد ، در حالی که سهم بیشتری از سود را حفظ می کند. “
این اولین باری نیست که FIN7 به عنوان یک شرکت معتبر ظاهر می شود ، که قبلاً “Combi Security” نامیده می شد ، قبل از اینکه توجه ناخواسته عمومی باعث شود که گروه این شرکت جعلی را تعطیل کند.
برت کالو ، کارشناس باج افزار و تحلیلگر تهدید در Emsisoft ، به TechCrunch گفت که تصمیم FIN7 برای تبدیل شدن به عنوان Bastion Secure نیز به احتمال زیاد تلاشی برای جلوگیری از توجه ناخواسته مجریان قانون است.
“اصلا تعجب آور نیست که عملیات جرایم سایبری سعی در جذب نیرو از طریق یک شرکت جعلی داشته باشد. استخدام از وب تاریک مشکل ساز و خطرناک است. ” “گروههای باج افزار در مجامع جرایم سایبری کمتر از گذشته مورد استقبال قرار می گیرند و متقاضیان به طور بالقوه می توانند افسران اجرای قانون باشند که مخفیانه کار می کنند. استفاده از آگهی های شغلی استاندارد هر دو مشکل را برطرف می کند ، در حالی که شرکت جعلی ممکن است اهداف دیگری را نیز انجام دهد – برای مثال پولشویی. “
کالو می گوید: “و مطمئناً ممکن است کارکنان در مورد ماهیت کار خود گمراه شوند-به عنوان مثال ، آنها ممکن است متوجه نشوند که شرکت ها ناخواسته دریافت کننده آزمایش قلم خود هستند.”