Sok pénznél jobb a több! Gondolhatta a hírhedt, ukrán-orosz bűnözőkhöz kötött Fin7 csapata akkor, amikor olyan munkaerő után néztek, amely a mögöttes célról mit sem sejtve relatíve fillérekért elvégzi a szükséges kódolást. A különös toborzási akcióról a Recorded Future biztonsági cég Gemini Advisory részlege közölt részletes anyagot.

Komoly cég, komoly honlappal

A kapzsi hekkerek nem sajnálták az előkészítő munkát, igaz, itt is megspórolták, amit meg lehetett spórolni. A fedősztorit egy nem létező cég megalkotásával kezdték. A papíron informatikai biztonsági megoldásokkal foglalkozó Bastion Secure honlapját elkészítésével azonban annyit nem vesződtek. Egy ténylegesen létező vállalat honlapját alapul véve kicsit átszinezték az elemeket, kicseréltek pár képet, a szövegek viszont néhol szóról-szóra megegyeztek az "ihletet adó" eredeti szájton található mondatokkal. Ahogy a lenti összehasonlításból is kitűnik, még a céges mottó is ugyanaz maradt.

A nem létező Bastion Secure főképernyője és a valódi mintaoldal
(a kép kattintásra nagyítható - forrás: Recorded Future)

A már nem élő oldalon több nyitott pozíciót is meghirdettek. A mit sem sejtő jelentkezők többek között programozói, rendszeradminisztrátori és fordított mérnöki tevékenységgel (reverse engineering) kapcsolatos feladatokra pályázhattak. Az ügyet megíró biztonsági kutatók egy forrása végig is ment a felvételi eljáráson. Elmondása szerint ez az első két körben nem különbözött sokban a legális üzleti szférában megszokottól, ám a harmadik fordulóban már világossá vált az informátornak, hogy ténylegesen miről is szól ez az egész.

A Fin7 egyébként 800 és 1200 dollárnak megfelelő összegért keresett munkaerőt magának, ami még kelet-európai mércével mérve sem nevezhető túlságosan soknak. A lényeg persze pont az volt, hogy minél kevesebb pénzből meglegyen a különböző internetes bűncselekmények elkövetéséhez szükséges háttérmunka. Amennyiben ezeket olyan személyek végzik, akik szorosan kapcsolódnak az illegális tevékenységhez, őket rendszerint megilleti egyfajta jutalék is a munkájukhoz kötődő sikeres akciók hasznából.

Régi motorosok

A lapokban megjelent hírek miatt spórolásában megzavart Fin7 az egyik kiemelkedő szereplője a világhálón folyó alvilági életnek. A csapat legelső akciója legalább 2014-ig nyúlik vissza. Azóta pedig számtalan esetben merült fel a nevük különböző célpontok ellen elkövetett bűncselekmények kapcsán. A hivatalos céges álcát sem először próbálták használni. A csapat korábban behatolásvédelmi tesztként igyekezett "eladni" azt, hogy miért kutakodnak lelkesen különböző informatikai rendszerekben.

Kezdetben elsősorban a bankkártyaadatok megszerzésére és az azokkal elkövethető csalásokra fókuszáltak, de az utóbbi időben a csapat érdeklődését is felkeltette a zsarolóvírusokban rejlő potenciál. Az álláskereséskor adott feladatok és feltett kérdések is arra utalnak, hogy jelenleg is a ransomware területén igyekszik kibővíteni tevékenységét a Fin7.

Említésre érdemes, hogy az USA egyik legfontosabb olajvezeték-hálózatát üzemeltető Colonial Pipeline ellen idén tavasszal elkövetett sikeres ransomeware-támadásnál a szakértők szerint a Fin7-hez köthető kártékony kódot használtak. Becslések szerint tavaly világszinten több mint 400 millió dollárt fizettek ki váltságdíjként a megtámadott szervezetek.