情报公司 Recorded Future 和微软研究人员指,疑似攻击美国最大燃油输送公司 Colonial Pipeline 并勒索的知名犯罪组织“Fin7”,成立假公司“Bastion Secure”招募 IT 技术人才。
《华尔街日报》报导,Bastion Secure 官网做得有模有样且专业,业务是负责出售网络安全服务,目前招聘程式工程师、系统管理员和善于发现软件 Bug 的人,工作时间周一至周五,每日工时 9 小时,有午休时间。
但经《华尔街日报》实测,网站的电话是以色列号码,却由一位讲俄语的人接听,他表示“跟任何网络安全公司都没关系”后便挂断电话。
研究人员表示,招募活动似乎由讲俄语那位负责,Bastion Secure 提供月薪 800 美元至 1,200 美元,这在乌克兰等前苏联国家眼中是不错薪资,但跟勒索软件、盗取信用卡资讯获得的非法资金来说只是很小部分。
研究人员指出,由于非法收入高达数亿美元,所以这些勒索集团越来越像犯罪新创公司,拥有专业人员,并发展软件、云端运算服务和营造媒体关系。
Fin7 是 DarkSide 背后主使者?
Fin7 原本专注入侵电脑系统,窃取出售信用卡资讯,但近年转向勒索软件,入侵电脑并安装加密档软件。虽然这集团仅 70 人,却造成其他公司和个人超过 30 亿美元损失。
可怕的是,犯罪组织通常在暗处行动,例如透过犯罪论坛招募伙伴,但 Fin7 业务不断壮大,似乎必须公开招募人才。
美国调查单位认为,Fin7 入侵上百间企业,窃取 2,000 多万笔客户纪录。微软研究人员 Carr 指出,Fin7 也会编写勒索软件,例如中断 Colonial Pipeline 汽油运送的软件就是他们所为,实际攻击由 Fin7 分支 DarkSide 执行。
Fin7 以 DarkSide 为名推销勒索软件业务,最近又将组织名改成 BlackMatter。
美国-特地发警报教导公司如何保护自己,免于 BlackMatter 危害,同时警告最近几个月 BlackMatter 勒索软件攻击多间美国关键基础设施实体,包括两间美国食品和农业部门组织。
Bastion Secure 并不是第一间假公司
Bastion Secure 并非 Fin7 招聘员工的第一间幌子公司。
联邦检察官指称,2015 年 8 月 Fin7 利用另一家虚构网络资安公司“Combi Security”招聘乌克兰男子 Fedir Hladyr 担任系统管理员。Hladyr 上工几个月后才意识到自己从事犯罪行为,因 Fin7 业务分开,不同员工对犯罪活动一无所知,有些人可能是突然发现,有些人则一直被蒙在鼓里。
由于 Hladyr 负责维护 Fin7 通讯服务器,以及发起和管理全球网络攻击的服务器,最终被判 10 年监禁。
研究人员表示,Bastion Secure 官网许多内容似乎是抄袭英国合法安全公司“Convergent Network Solutions”。Convergent 发言人表示,考虑采取措施删除 Bastion Secure 官网内容。
Bastion Secure 总经理“Tom Deevy”之名也抄自另一间资安企业的董事总经理,工作地点则是 Deevy 任职公司以前的业务地点。
- Ransomware Gang Masquerades as Real Company to Recruit Tech Talent
(首图来源:shutterstock)
