圖片來源: 

Gemini Advisory

駭客為了能從網路攻擊中拿到更多錢,他們尋求廉價的打手,來從事網路攻擊,手段是宣稱提供滲透測試服務的資安公司,設立幾可亂真的網站並開出職缺,但實際上,駭客打算借助這些不知情的IT專家,執行偵察與部署惡意軟體的工作。

資安業者Gemini Advisory在10月21日,揭露俄羅斯金融駭客組織FIN7近期的攻擊行動,該組織宣稱是名為「Bastion Secure」英國資安公司,並發布求才訊息,目的是要發動勒索軟體攻擊。

事實上,FIN7以冒牌資安公司為幌子,聘雇不知情的資安人員發動攻擊,這不是第一次。美國在2018年起訴3名成員時,就揭露該組織曾設立名為Combi Security的假公司,佯稱提供各種資安服務,但實際上,該公司網站上列出的客戶,不少是該組織的受害者。

求職者面試時察覺有異而向資安廠商舉發

這起攻擊行動究竟如何被發現?Gemini Advisory接獲錄取Bastion Secure職務的人士通報此事,進而著手進行調查。

從Bastion Secure的網站來看,這家資安公司正在尋求專精C++、Python、PHP的程式設計師,以及系統管理人員和逆向工程師等人才。該公司不只在自己的網站上求才,也在求職網站上,張貼徵才訊息。

但舉報此事的人指出,該公司在面試過程中,就交付他數項測試工具,並表明正式錄取後,就會在工作的期間用到。

然而,經過進一步分析通報者提供的工具之後,Gemini Advisory發現,它們是攻擊套件:Carbanak與Lizar(亦稱Tirion),是駭客組織FIN7慣用的工具,目的是感染POS系統與發動勒索軟體攻擊。

Bastion Secure接著要求這位應徵者,執行攻擊行動,他驚覺事情不單純,才向Gemini Advisory通報。

根據Bastion Secure公布的薪資條件來看,人員一旦錄取,得到的薪水並不高,每個月僅約為800至1,200美元,而且,這是時下後蘇聯國家的IT人員普遍薪資水平。相較於和其他參與攻擊的駭客分贓,這樣的人力成本也顯得相當低廉。

從上述的薪資來看,該名人士很可能是急著找工作,才會一時大意到FIN7應徵,此種現象突顯出,資安人材若沒有合適的環境發揮所長,也有可能會被犯罪組織吸收,而對社會帶來威脅。

資安人員求職應更加謹慎,留意公司的背景資訊

關於駭客組織設立的Bastion Secure公司,實際上,真的存在嗎?

若在搜尋引擎輸入這家公司名稱, 很可能會看到兩家名字相似的企業: 一是視訊監控設備業者「Bastion Security Products Ltd」(甫被併購並更名為Ecamsecure),或者是保全系統業者「Bastion Security Group LLC」,此時,多數人都很有可能誤以為存在一家名為Bastion Secure的公司。

不過,研究人員根據網站上的辦公室地址進行確認, 結果發現這些據點並不存在。再者,這網站其實是複製另一家資安公司「Convergent Network Solutions Ltd」的網站而來,若點選網站選單,不少連結會出現HTTP 404的錯誤訊息,內容卻是俄文。

金融駭客組織FIN7二度佯裝成資安公司,以此招募不知情的求職者來發動攻擊。駭客宣稱他們是英國公司,但公司網頁的錯誤訊息卻出現俄文,顯示架設網站的人士是使用此種語言。

為了不讓同樣事情再度發生,成為歹徒共犯,資安人員找工作時,應多加留意公司來歷。


熱門新聞

Advertisement