Кибермошенники начали нанимать «белых хакеров» под видом компаний по кибербезопасности Check Point Software Technologies и Forcepoint. Первой такую практику ввела группировка FIN7, разработав программу, замаскированную под инструмент для пентеста — анализа защищенности сетей. «Белые хакеры» при этом не знают, что работают на преступников. По словам экспертов, атаки такого типа с конца 2020 года идут на американские компании, но вскоре могут переключиться на другие страны, включая Россию.
Фото: Александр Миридонов, Коммерсантъ / купить фото
Известная русскоязычная хакерская группировка FIN7 начала атаковать крупные американские компании, прикидываясь легальной организацией по кибербезопасности, рассказали “Ъ” в Bi.Zone. Для этого злоумышленники разработали программу, которая маскируется под инструмент для анализа защищенности сетей Windows.
Чтобы увеличить охват, FIN7 с прошлого года активно нанимает российских пентестеров («белые хакеры», специалисты по анализу защищенности информационных систем), выдавая себя за представительства израильского разработчика решений по безопасности Check Point Software Technologies и американского разработчика софта Forcepoint.
По словам директора блока экспертных сервисов Bi.Zone Евгения Волошина, нанятые сотрудники даже не подозревают, что работают на злоумышленников. FIN7, уточняет он, интересуют русские специалисты, поскольку они «самые сильные». Пентестерам, подчеркивает господин Волошин, нужно «сохранять бдительность при трудоустройстве».
Пентест — это сознательный взлом системы, чтобы найти ее слабые места. По прогнозу Positive Technologies, по итогам 2020 года объем рынка услуг непрерывного анализа защищенности бизнеса должен был составить 1,5 млрд руб.
В Positive Technologies “Ъ” подтвердили, что кроме кейса FIN7 до 2021 года не наблюдали случаев, когда преступники втягивали в подобные схемы пентестеров. По словам руководителя группы исследований угроз экспертного центра безопасности Positive Technologies (PT Expert Security Center) Дениса Кувшинова, их атаковали иначе и с другими целями. Например, в первом квартале 2021 года участники северокорейской группировки Lazarus писали специалистам по безопасности в соцсетях и мессенджерах, представляясь коллегами, а затем предлагали прочитать статью в личном блоге.
Если жертва пользовалась браузером Google Chrome, поясняет господин Кувшинов, при переходе в блог эксплуатировалась уязвимость нулевого дня, и компьютер жертвы оказывался зараженным. Суть была в том, что на устройствах специалистов по безопасности могла находиться важная для хакеров конфиденциальная информация.
Теперь же «белые хакеры» сами становятся частью атаки, ликвидируя кадровый дефицит у кибермошенников.
Глава представительства Check Point в России и СНГ Василий Дягилев подтверждает, что проблема становится актуальной. В данном случае, по его мнению, злоумышленники рассчитывают воспользоваться доверчивостью компаний, которые стремятся сэкономить на проведении нормального пентеста, «название известного бренда позволяет им войти в доверие». Во время теста на проникновение или в результате удачного обнаружения брешей в защите специалисты часто получают высокий уровень привилегий для доступа к системе.
Группировка FIN7 основана в 2013 году и известна атаками с целью финансовой выгоды либо шпионажа. Мишенью преступников в России и на постсоветском пространстве были в основном банки и платежные системы, рассказывает ведущий специалист по компьютерной криминалистике Group-IB Олег Скулкин. В 2019 году расследование в отношении группировки проводила «Лаборатория Касперского»: исследователи обнаружили связь хакеров с другой известной группой Carbanak. В 2020 году FIN7 принимала активное участие в Big Game Hunting — атаках на крупные компании с целью вымогательства выкупа за расшифровку данных, говорит Олег Скулкин.
FIN7 переключились на атаки с использованием программ-вымогателей, так как они проще в реализации и могут принести хакерам такую же прибыль, полагает господин Скулкин.
Так, например, в конце 2020 года и начале 2021 года хакеры атаковали американские фармацевтические компании, IT-компанию со штаб-квартирой в Германии, один из ключевых финансовых институтов Панамы, игорное заведение и образовательные учреждения в США. В Bi.Zone ожидают, что «группировка не остановится на достигнутом и скоро атаки начнутся по всему миру». В Group-IB подтверждают, что уже известны случаи, где жертвами вредоносных рассылок FIN7 становились и российские компании. Но пока, по словам экспертов, это было только тестирование, а не реальные атаки.