eine Gruppe von Crackern bot legitime Jobs auf Jobbörsen an, um unwissende Komplizen zu rekrutieren

Das Stellenangebot schien legitim. Arbeitsvertrag, Bürozeiten und komplett remote. Das Unternehmen, das es auf den Markt gebracht hat, verfügte auch über eine Website, auf der seine professionellen Dienstleistungen im Zusammenhang mit der Cybersicherheit gezeigt wurden. Alles schien in Ordnung zu sein, aber die vermeintliche Computersicherheitsfirma war das Deckblatt einer Gruppe von Cyberkriminellen, um technologische Talente anzuziehen, um neue Mitglieder für ihre kriminelle Organisation zu gewinnen, gemäß eine Untersuchung des Cybersicherheitsunternehmens Recorded Future in Zusammenarbeit mit Microsoft.

Die Absicht der Kriminellen war es, eine große Gruppe von “unfreiwilligen Komplizen” zu bilden, um ihnen zu helfen, ihren Angriffen den Weg zu ebnen, ohne genau zu wissen, was sie taten, mit einem doppelten Ziel: Arbeiter zu bekommen, die, wenn sie die Wahrheit wüssten, nicht mit Kriminellen zusammenarbeiten wollen, und sie als Angestellte und nicht als Mittäter von millionenschweren Verbrechen zu bezahlen, wodurch viel Geld gespart wird. Wie sich jedoch später zeigen wird, hatte jeder IKT-Experte Elemente, die er zumindest vom ersten Moment an vermuten konnte.

Die Gruppe von Cyberkriminellen hinter diesem Unternehmen wäre Fin7, das gleiche, auf das Microsoft verlinkt Angriff auf US-Pipeline-Unternehmen Colonial Pipeline im vergangenen Mai, eine Tatsache, die in einem Teil des Landes zu einer enormen Versorgungsknappheit geführt hat. Dieselbe Organisation, vermutlich russisch, würde auch hinter anderen Verbrechen wie dem groß angelegten Diebstahl von Bankdaten oder Ransomware-Angriffen auf verschiedene Institutionen und Unternehmen stecken.

Die betreffende Briefkastenfirma heißt Bastion Secure. Aufgezeichnete zukünftige Forschungsergebnisse zeigen, dass Cyberkriminelle, die echte und öffentliche Informationen von anderen legitimen Cybersicherheitsunternehmen – Telefonnummern oder Bürostandorte – verwenden. sie hätten vor der Öffentlichkeit der vermeintlichen Organisation einen Anschein der Realität aufgebaut. Sie schrieben sogar im Web, dass sie mehrere echte Sicherheitspreise gewonnen hätten, was die Forscher mit einer einfachen Google-Suche bestritten.

Bastion Sichere Stellenangebote waren für Programmierer, Systemadministratoren und Reverse Engineering-Experten in C ++, Python und PHP gedacht. Einer von ihnen, der unten in einem Screenshot von Recorded Future zu sehen ist, bot von Montag bis Freitag eine Stelle als Windows-Systemadministrator in Russland mit einer 9-12-Stunden-Schicht an. Cyberkriminelle und auch Ausbeuter.

Bild1
Screenshot einer Bastion Secure-Stellenausschreibung von Recorded Future.

Tatsächlich geht die Untersuchung auch auf die von ihnen angebotenen Arbeitsbedingungen ein und weist darauf hin, dass Gehälter für ICT-Spezialistenpositionen reichten von 800 bis 1.200 US-Dollar pro MonatSehr geringe Beträge für westliche Länder, die aber laut Dokument für den Lebensstandard der ehemaligen Sowjetrepubliken akzeptabel sind.

Das Auswahlverfahren

Um diese Anfragen zu stellen, Recorded Future Zusammenarbeit mit einer Person, die sich dem Fin7-Scheinfirmen-Screening-Prozess unterzogen hat. Zunächst sei alles normal gewesen: Jemand aus der Personalabteilung von Bastion Secure habe den Kandidaten kontaktiert und ein Vorstellungsgespräch mit ihm vereinbart. Und von da an begannen die Dinge seltsam zu werden.

Zuerst, das Vorstellungsgespräch wurde komplett schriftlich per Telegram geführt. Nachdem er diesen Schritt erfolgreich bestanden hatte, führte der Kandidat einige praktische Aufgaben im Zusammenhang mit der Position durch, für die er Tools installieren musste, die sowohl für legitime Cybersicherheitstests als auch für böswillige Aktivitäten verwendet werden können. Nachdem auch diese Phase gelöst war, beauftragten sie einen vermeintlichen echten Kunden mit einem definitiven Test.

„Die Aufgabe bestand darin, mithilfe eines Skripts Informationen über Domänenadministratoren, Domänenvertrauensbeziehungen, Dateifreigaben, Backups und Hypervisoren zu sammeln“, heißt es in dem Bericht, der auch feststellt, dass der Kandidat während des Prozesses festgestellt hat, dass das Unternehmen „Zugang zum Unternehmensnetzwerk ohne jegliche Dokumentation oder rechtliche Erklärung gewährt, was darauf hindeutet, dass der Zugang durch Social Engineering erworben oder im Dark Web erworben wurdezu; Mich interessierten nur Dateisysteme und Backups; forderte den Mitarbeiter auf, bestimmte Tools zu verwenden, um eine Entdeckung zu vermeiden; und warnte ihn vor einer hohen Geldstrafe, wenn er Antivirensoftware auf der von ihnen verwendeten virtuellen Maschine installierte. “

Recorded Future hat die an diese Person gesendeten Dateien analysiert und gefundene Post-Exploitation-Tools Carbanak und Lizar / Tirion, die Teil eines Ransomware-Angriffs sindda sie es Kriminellen ermöglichen, infizierte Geräte zu kontrollieren, nachdem sie einen ersten Zugang zum Netzwerk der Opferorganisation erhalten haben.


Source: Xataka by feeds.weblogssl.com.

*The article has been translated based on the content of Xataka by feeds.weblogssl.com. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!