Hackerské skupiny v honbě za financemi neváhají rekrutovat softwarové inženýry, kteří by jim pod rouškou penetračního testování pomohli provést ransomwarové útoky. Rané doby IT kriminality jsou protkány případy, kdy některé antivirové firmy samy vyvíjely počítačové viry, aby se pak následně zviditelnili a prosadili tím, že jako první nabídnou „lék“. Nekalým jednáním tak prosazovaly počítačovou bezpečnost. Nyní se však trend poněkud obrací. Hackerské skupiny zakládají „legální“ společnosti, jejichž oficiálním předmětem podnikání je kybernetická bezpečnost, s cílem naverbovat specialisty, jejichž schopnosti zneužívají k objevování bezpečnostních slabin. Ty pak následně využívají k samotným sofistikovaným útokům. Toto počínání dokazuje případ zavedené ruské hackerské skupiny FIN7, která funguje od roku 2015 a jejíž celková „tržní kapitalizace“ se odhaduje už na miliardu dolarů. Podle poradenské jednotky Gemini Advisory společnosti Recorded Future skupina založila a provozovala firmu Bastion Secure — se sídlem na skutečné adrese, několika pobočkami po celém světě, telefonními čísly, a vlastními firemní webovými stránkami. Vše bylo podpořeno výsledky v Google vyhledávači a pozitivními referencemi zastřešenými renomovanými světovými firmami. „Firma Bastion Secure měla soukromým společnostem i organizacím z veřejného sektoru poskytovat služby v oblasti penetračních testů, tedy ověření zabezpečení počítačových zařízení, systémů nebo aplikací,“ vysvětluje Martin Lohnert, specialista pro oblast kyberbezpečnosti ve společnosti Soitron.
Třetím krokem je útok Fiktivní společnost přitom byla pouze zástěrkou pro zveřejňování inzerátů na pracovních portálech s cílem najmout na různé pozice experty na kybernetickou bezpečnost. Pracovní nabídky lákaly softwarové inženýry, systémové administrátory či C++, Python a PHP programátory. Na ty, kteří se přihlásili, čekal třífázový pohovor: V prvním kole absolvovali žadatelé o zaměstnání videopohovor s HR zástupcem Bastion Secure. Po úspěšném absolvování došlo k podepsání dohody o mlčenlivosti. Ve druhém kole již zaměstnanci obdrželi od společnosti legitimní nástroje potřebné k penetračnímu testování, aby mohli plnit úkoly. V rámci třetího kola pak obdrželi zadání, ve kterém byli vyzváni k provedení penetračního testu pro jednoho ze zákazníků.
Odpovědnost nese tester Je potřeba zdůraznit, že v tomto procesu se nikde neobjevily žádné právní dokumenty opravňující testera penetrační test provést, jak je v takovýchto případech zvykem. „Tím existuje riziko, že pokud by byl tester odhalen, mohl by být podle platné legislativy státu, v níž působí společnost, kterou testuje, stíhán. On jako jednotlivec, nikoliv hackerský gang, pro který pracoval. Byl by to totiž on, kdo pokusy o útok provádí,“ zdůrazňuje Martin Lohnert. Zástupci Bastion Secure po těchto svých zaměstnancích dále požadovali, aby v případě úspěšného proniknutí do podnikového systému hledali především firemní data, včetně záloh. Vše vlastně odpovídalo krokům, které se provádějí při pokusu o ransomwarový útok.
Zaměstnat testery je levnější a snazší Pokud jde o důvody, proč zločinecká skupina jako FIN7 zašla tak daleko, aby provozovala falešnou bezpečnostní společnost, odpověď je nasnadě. „Najmout člověka pro nelegální aktivity není vůbec snadné. Šikovných pen-testerů je nedostatek a na trhu jsou atraktivní nabídky od renomovaných firem, kde jim rozhodně nehrozí trestní stíhaní. Pro FIN7 bude proto snazší i levnější získat takto nic netušící zaměstnance než spolupracovat s jinými hackerskými skupinami nebo hackery rekrutovanými z darknetu, kteří by třeba požadovali určité procento ze zisku,“ prozrazuje Martin Lohnert. Výkupné požadované po napadených firmách může v některých případech dosáhnout milionů amerických dolarů. Taktika provozování falešné bezpečnostní firmy není nijak zvlášť nová. Sama skupina FIN7 ji už využila v roce 2010, kdy používala další falešnou bezpečnostní firmu s názvem Combi Security. „Alarmující na tomto příkladu je však to, že v dnešní době práce z domova lidi hledající práci či přivýdělek mnohdy nenapadne verifikovat zakázky zaměstnavatele. A už vůbec je nemusí napadnout, k čemu všemu mohou být zneužiti. Automaticky předpokládají, že společnost, která o ně má zájem, je legitimní, a tudíž jí důvěřují ve všem. Včetně toho, že od svého zákazníka má povolení provádět penetrační testy,“ uzavírá Martin Lohnert. /PK/