Drzost hackerských skupin nezná meze. V honbě za financemi již neváhají rekrutovat softwarové inženýry, kteří by jim pod rouškou penetračního testování pomohli provést ransomwarové útoky. Za tímto účelem zakládají „legitimní“ společnosti jejichž předmětem podnikání má být kybernetická bezpečnost. Ale pozor, opak je pravdou! Schopnosti IT odborníků jsou zde nevědomky zneužívány k tomu, aby objevili bezpečnostní slabiny, které by se daly kyberzločinci následně využít.
Toto počínání dokazuje případ zavedené ruské hackerské skupiny FIN7, která funguje od roku 2015 a jejíž celková „tržní kapitalizace“ se odhaduje už na miliardu dolarů. Podle výzkumníků z poradenské jednotky Gemini Advisory společnosti Recorded Future skupina založila a provozovala firmu Bastion Secure – se sídlem na skutečné adrese, několika pobočkami po celém světě, telefonními čísly, vlastními firemní webovými stránkami, a vše bylo podpořeno výsledky v Google vyhledávači a pozitivními referencemi zastřešenými renomovanými světovými firmami. „Firma Bastion Secure pro soukromé společnosti a organizace z veřejného sektoru měla poskytovat služby v oblasti penetračních testů, což je metoda ověření zabezpečení počítačových zařízení, systémů nebo aplikací,“ vysvětluje Martin Lohnert, specialista pro oblast kyberbezpečnosti v technologické společnosti Soitron.
Třetím krokem ve výběrovém řízení je útok
Fiktivní společnost přitom byla pouze zástěrku pro zveřejňování inzerátů na pracovních portálech s cílem najmout na různé pozice experty na kybernetickou bezpečnost. Pracovní nabídky lákaly softvérové inženýry, systémové administrátory, či C++, Python a PHP programátory. Na ty, kteří se přihlásili, čekal třífázový pohovor:
- První kolo: žadatelé o zaměstnání absolvovali videopohovor s HR zástupcem Bastion Secure. Po úspěšném absolvování došlo k podepsání dohody
o mlčenlivosti. - Druhé kolo: již zaměstnanci obdrželi od společnosti legitimní nástroje potřebné k penetračnímu testování, aby mohli plnit úkoly.
- Třetí kolo: zaměstnanci obdrželi zadání, ve kterém byli vyzváni, aby provedli penetrační test pro jedno ze zákazníků Bastion Secure.
Odpovědnost v tomto případě nese tester
Je potřeba zdůraznit, že v tomto procesu se nikde neobjevily žádné právní dokumenty opravňující testera penetrační test provést, jak je v takovýchto případech zvykem. „Tím existuje riziko, že pokud by byl tester odhalen, mohl by být podle platné legislativy státu, ve které společnost, kterou testuje, stíhán. On jako jednotlivec, nikoliv hackerský gang, pro který pracoval. Byl by to totiž on, kdo pokusy o útok provádí,“ zdůrazňuje Martin Lohnert.
Zástupci Bastion Secure po těchto svých zaměstnancích dále požadovali, aby v případě úspěšného proniknutí do podnikového systému hledali především firemní data, včetně záloh. Vše vlastně odpovídalo krokům, které se provádí při pokusu
o ransomwarový útok.
Zaměstnat testery je levnější a snazší
Pokud jde o důvody, proč zločinecká skupina jako FIN7 zašla tak daleko, aby provozovala falešnou bezpečnostní společnost, odpověď je nasnadě. „Najmout člověka pro nelegální aktivity není vůbec snadné. Šikovných pen-testerů je nedostatek a na trhu jsou atraktivní nabídky od renomovaných firem, kde jim rozhodně nehrozí trestní stíhaní. Pro FIN7 bude proto snazší i levnější získat takto nic netušící zaměstnance než spolupracovat s jinými hackerskými skupinami nebo hackery rekrutovanými z darknetu, kteří by třeba požadovali určité procento ze zisku,“ prozrazuje Martin Lohnert. Výkupné požadované po napadených firmách může v některých případech dosáhnout milionů amerických dolarů.
Taktika provozování falešné bezpečnostní firmy není nijak zvlášť nová. Sama skupina FIN7 ji už využila v roce 2010, kdy používala další falešnou bezpečnostní firmu s názvem Combi Security. „Alarmující na tomto příkladu je však to, že v dnešní době práce z domova, lidi hledající práci, či přivýdělek mnohdy nenapadne verifikovat zakázky zaměstnavatele. A už vůbec je nemusí napadnout, k čemu všemu mohou být zneužití. Automaticky předpokládají, že společnost, která o ně má zájem je legitimní, a tudíž ji důvěřují ve všem. Včetně toho, že od svého zákazníka má povolení provádět penetrační testy,“ uzavírá Martin Lohnert.