Взлом чужими руками: как группировка FIN7 обманывает «белых хакеров»

Хакеры начали выдавать себя за компании по кибербезопасности

Depositphotos
Кибермошенники начали нанимать «белых хакеров», маскируясь под компании, занимающиеся кибербезопасностью, — Check Point Software Technologies и Forcepoint. Впервые такую практику ввела группировка FIN7, использующая программу-вымогателя. По словам экспертов, атаки такого типа с конца 2020 года идут на американские компании, но вскоре могут переключиться на другие страны, включая Россию.

Группировка FIN7, состоящая из российских хакеров, взламывает крупные компании США под видом корпораций, специализирующихся на кибербезопасности, сообщает газета «Коммерсантъ» со ссылкой на данные Bi.Zone.

Сначала атака ведется при помощи программы для удаленного доступа — она замаскирована под инструмент, который используют безопасники для анализа защищенности различных систем. После проникновения в сеть компании, мошенники переходили к запуску программы-вымогателя. Она блокировала доступ к системе, а затем требовала у жертвы выкуп за возврат доступа.

Однако это далеко не все действия, предпринятые FIN7 — начиная с прошлого года группировка стала активно нанимать пентестеров, или специалистов по кибербезопасности, которые занимаются сознательным взломом системы для выявления ее слабых мест.

Хакерская группа выдавала себя за представительства израильского разработчика решений по безопасности Check Point Software Technologies и американского разработчика софта Forcepoint. Таким образом хакеры намеревались проникнуть в системы крупных компаний чужими руками.

Нанятые сотрудники не знали о том, на кого они работают, отмечает директор блока экспертных сервисов Bi.Zone Евгений Волошин. Кроме того, он обращает внимание на то, что FIN7 отдавала предпочтение русским пентестерам, так как они «самые сильные» в этой области.

Как подчеркивает директор департамента информационной безопасности компании Oberon Евгений Суханов, на практике подобные целевые фишинговые атаки уже были реализованы.

«Тогда компании из сектора энергетики предлагали выполнить финансовый аудит, причем ссылались на ранее выполненные договоры в этой области другим подрядчиком, объясняя это тем, что сейчас команда экспертов якобы перешла в новую компанию. Заказчику предлагалось перейти по ссылке и заполнить опросный лист, что является стандартной процедурой. Ссылка вела на фишинговый ресурс с целью заражения АРМ сотрудника и дальнейшего вымогательства», — говорит «Газете.Ru» эксперт.

По словам Суханова, подобная атака может быть применима лишь при детальной подготовке.

«Частные специалисты, имеющие компетенции в области анализа защищенности, знают ведущих производителей средств защиты информации, но из-за своего статуса не имеют с ними прямых контактов. Поэтому рассылка с предложением о сотрудничестве может быть успешна, так как потенциальная жертва заинтересована в таком взаимодействии», — объясняет эксперт.

Глава представительства Check Point в России и СНГ Василий Дягилев отмечает, что в данной ситуации хакеры использовали доверчивость и жадность компаний, которые стремились сэкономить на тестировании своих систем, так как «название известного бренда позволяет им войти в доверие».

В беседе с «Газетой.Ru» Дягилев уточняет, что название «на слуху» дает злоумышленникам возможность ослабить сомнения и критическое восприятие пользователей, а значит повысить шансы на успешную атаку.

«Согласно недавнему отчету Check Point Brand Phishing Report Q1, в ближайшем будущем злоумышленники будут активно использовать бренды технологических компаний.

Например, в отчет вошли названия таких крупных международных компаний, как Microsoft, Google, DHL, Apple, LinkedIn.

Check Point Software — один из признанных лидеров на рынке безопасности, поэтому неудивительно, что хакеры использовали это название для мошенничества», — предупредил Дягилев.

Пока точное количества пострадавших от атаки FIN7 компаний неизвестно, говорит руководитель аналитического департамента AMarkets Артем Деев.

«Набор средств мошенников настолько велик, что выделить данные по одному направлению довольно проблематично. Но известно, что, например, в прошлом году 97% компаний во всем мире столкнулись с хакерскими атаками разными способами — с помощью вирусов-шифровальщиков, с помощью загрузок вредоносного софта и прочих видов атак. Более 1 000 крупнейших компаний мира подверглись целенаправленным атакам. В глобальном плане потери от таких действий преступников могут исчисляться сотнями миллиардов долларов в год», — сообщает Деев.

В 2020 и 2021 годах FIN7 стояла за атакой на американские фармацевтические компании, финансовый институт Панамы, игорное заведение и образовательное учреждение США. Специалисты Bi.Zone предупреждают, что FIN7 вскоре может начать серию атак по всему миру, включая Россию.