IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les cybercriminels appartenant au groupe FIN7 créent une fausse entreprise pour recruter des experts en sécurité
Qui vont participer à leur insu à des cyberattaques

Le , par Stéphane le calme
1 commentaire

283PARTAGES

10  0 
En 2018, le ministère américain de la Justice a révélé que FIN7 se faisait passer pour « Combi Security », une fausse société de cybersécurité, pour impliquer des spécialistes informatiques inconscients dans leurs campagnes de fidélisation. Alors que l'attention du public sur Combi Security a mis fin à cette opération, Gemini a maintenant découvert que FIN7 utilise une nouvelle fausse société de cybersécurité nommée « Bastion Secure » pour inciter des spécialistes informatiques inconscients à soutenir son expansion continue vers les ransomwares.

FIN7 est un groupe russe de menaces persistantes et criminelles avancées qui cible principalement les secteurs de la vente au détail, de la restauration et de l'hôtellerie.

Le groupe de cybercriminels FIN7 a gagné en notoriété au milieu des années 2010 pour des campagnes de malware à grande échelle ciblant les systèmes de point de vente (POS). En 2018, Gemini Advisory a signalé la compromission par FIN7 des magasins Saks Fifth Avenue et Lord & Taylor et la vente ultérieure de plus de 5 millions de cartes de paiement sur le dark web.

Selon le ministère américain de la Justice, les campagnes plus larges de cartes FIN7 ont entraîné le vol de plus de 20 millions d'enregistrements de cartes de paiement et coûté aux victimes plus d'un milliard de dollars, faisant de FIN7 l'un des groupes de cybercriminels les plus infâmes et les plus prolifiques de la dernière décennie. Maintenant que les ransomwares s'avèrent être l'entreprise à gros bénéfices préférée des cybercriminels, FIN7 a redéployé son expertise et sa capacité vers les ransomwares, des rapports indiquant que le groupe a été impliqué dans des tentatives d'attaques de ransomwares contre des entreprises américaines dès 2020. De plus, malgré l'attention des forces de l'ordre et de l'arrestation d'un administrateur du système FIN7 en 2021, l'activité continue de FIN7 montre que le groupe reste une menace puissante et active.

Voici quelques éléments qui se rapportent au groupe :
  • en mars 2017, FIN7 s'est lancée dans une campagne d'attaque par hameçonnage ciblant des employés de l'entreprise impliqués dans les dépôts auprès de la SEC ;
  • en août 2018, trois membres de FIN7 ont été inculpés par le ministère de la Justice des États-Unis pour des cybercrimes ayant touché plus de 100 entreprises américaines ;
  • en novembre 2018, il a été signalé que FIN7 était à l'origine de violations de données de Red Robin, Chili's, Arby's, Burgerville, Omni Hotels et Saks Fifth Avenue ;
  • en mars 2020, il a été signalé que FIN7 était engagé dans des attaques BadUSB ;
  • en décembre 2020, il a été signalé que FIN7 pourrait être un proche collaborateur de Ryuk ;
  • en avril 2021, un « responsable de haut niveau » de FIN7 Fedir Hladyr d'Ukraine a été condamné à 10 ans de prison aux États-Unis après avoir plaidé coupable à des accusations de complot en vue de commettre une fraude par fil et d'un chef de complot en vue de commettre un piratage informatique.

Au cours de l'existence de FIN7, les entreprises de cybersécurité ont fait référence à FIN7 sous plusieurs noms, notamment Carbanak, Carbon Spider, Anunak, Cobalt Gang et Navigator Group, certains praticiens ayant choisi de subdiviser la désignation FIN7 en fonction du type de cible. Bien que des groupes d'individus se chevauchant, mais différents aient probablement mené des activités malveillantes attribuées à ces groupes de menaces, le fil conducteur reliant les signatures d'attaque à FIN7 a été l'utilisation du logiciel malveillant Carbanak.

L'entreprise de cybersécurité utilisée par les cybercriminels pour profiter du travail des chercheurs en sécurité

Cette fois-ci, selon des chercheurs en sécurité, FIN7 a mis en place une fausse organisation de sécurité nommée Bastion Secure au début de 2021 et l'a utilisée pour attirer les travailleurs de la cybersécurité, les embaucher, puis les inciter à participer à des attaques de ransomware. La société prétend fournir des services de cybersécurité aux secteurs publics et aux organisations privées du monde entier.

Une division Recorded Future, Gemini Advisory, a mené une enquête et a révélé que la société est une couverture pour le groupe de piratage FIN7 qui a utilisé le site Web de Bastion Secure pour publier des offres d'emploi sur divers portails d'emploi russes, souhaitant recruter des travailleurs technologiques pour plusieurs postes.

Le site Web de Bastion Secure ressemble à celui d'une vraie entreprise. Mais la recherche a révélé que FIN7 utilise des informations réelles et accessibles au public provenant d'entreprises de cybersécurité existantes et légitimes (numéros de téléphone, emplacements de bureaux et textes tirés de vrais sites Web) pour créer un voile de légitimité. Le site Web de Bastion affirme qu'il a remporté le prix du « Meilleur service de sécurité géré » aux prix SC Magazine en 2016, et que la branche de conseil de la fausse société a été acquise par Six Degrees en 2016. Ni l'un ni l'autre n'est vrai.

L'analyse de Recorded Future du site Web de la fausse société a révélé qu'il était en grande partie copié à partir du site Web de Convergent Network Solutions, une société de cybersécurité légitime. Les chercheurs ont déclaré que le site est hébergé sur le registraire de domaine russe Beget, que les cybercriminels utilisent souvent, et que certains des sous-menus du site Web de la fausse société renvoient une erreur « page non trouvée » en russe, ce qui, selon les chercheurs, pourrait indiquer que le site les créateurs étaient russophones.

Au moment de la rédaction, Chrome et Safari ont bloqué l'accès au site « trompeur ».

Les offres d'emploi et le processus d'embauche

Tout comme le site Web, les offres d'emploi annoncées par Bastion Secure semblent également assez légitimes. L'entreprise fictive recherche des programmeurs, des administrateurs système et des rétro-ingénieurs, et les descriptions de poste sont similaires à celles que vous trouverez dans n'importe quelle entreprise de cybersécurité.

Mais Recorded Future a déclaré que FIN7, sous le couvert de Bastion Secure, cherchait à constituer un « personnel » capable d'effectuer les tâches nécessaires pour entreprendre une gamme d'activités cybercriminelles.

« Compte tenu de l'intérêt accru de FIN7 pour les ransomwares, Bastion Secure recherche probablement spécifiquement des administrateurs système, car une personne possédant cet ensemble de compétences en serait capable », ont découvert les chercheurs.

Le processus d'entrevue a également sonné l'alarme pour les chercheurs. Les personnes qui ont postulé sont passées par un processus d'entretien comprenant trois phases :
  • la phase 1 : un entretien de base mené par un professionnel des RH réalisé via Telegram. Après avoir réussi l'entretien, les candidats ont été invités à signer un contrat et un accord de non-divulgation (NDA) et à installer diverses machines virtuelles et des ports ouverts sur leurs ordinateurs ;
  • la phase 2 : la deuxième phase comprenait les candidats recevant des outils de sécurité réels de l'organisation pour effectuer plusieurs missions de test ;
  • la phase 3 : la phase finale impliquait la participation des candidats à la vraie affaire, c'est-à-dire la réalisation d'un test d'intrusion réel contre un client Bastion Secure.

Alors que les première et deuxième étapes n'ont donné aucune indication que Bastion Secure dissimulait une opération de cybercriminalité, la troisième, dans laquelle les employés potentiels étaient chargés d'une « vraie » mission, l'a révélée.

« Il est devenu immédiatement clair que l'entreprise était impliquée dans des activités criminelles », ont déclaré les chercheurs. « Le fait que les représentants de Bastion Secure soient particulièrement intéressés par les systèmes de fichiers et les sauvegardes indique que FIN7 était plus intéressé par la conduite d'attaques de ransomware que par les infections [de point de vente]. »

L'un des chercheurs de Recorded Future qui s'est vu offrir un poste de chercheur en informatique chez Bastion Secure a analysé les outils fournis par l'entreprise et a découvert que les outils sont des composants des boîtes à outils post-exploitation Carbanak et Tirion (Lizar). Les deux boîtes à outils ont déjà été attribuées à FIN7 et peuvent être utilisées pour pirater les systèmes de point de vente et déployer des ransomwares.

« La décision de FIN7 d'utiliser une fausse entreprise de cybersécurité pour recruter des spécialistes en informatique pour son activité criminelle est motivée par le désir de FIN7 de disposer d'une main-d'œuvre qualifiée relativement bon marché », a déclaré Recorded Future. « Les offres d'emploi de Bastion Secure pour des postes d'informaticiens allaient de 800 $ à 1 200 USD par mois, ce qui est un salaire de départ viable pour ce type de poste dans les États postsoviétiques… En effet, le système de fausse entreprise de FIN7 permet aux opérateurs de FIN7 d'obtenir le talent dont le groupe a besoin pour mener à bien ses activités criminelles, tout en conservant une part plus importante des bénéfices ».

Analyse de Gemini Advisory

Une source Gemini s'est vu proposer un poste de spécialiste informatique chez « Bastion Secure Ltd », une « entreprise » de cybersécurité à la recherche de programmeurs C++, Python et PHP, d'administrateurs système et d'ingénieurs pour de la rétro-ingénierie. Une recherche de base pour cette société renvoie un site Web d'apparence légitime (www[.]bastionsecure[.]com), mais l'analyse a révélé qu'il s'agit d'une société de cybersécurité fictive dirigée par un groupe de cybercriminels. Au cours du processus d'entrevue, la source a reçu plusieurs outils pour les tâches de test qu'elle utiliserait si elle était employée.

Gemini Advisory a travaillé conjointement avec Recorded Future Insikt Group pour analyser les outils fournis par Bastion Secure et a déterminé qu'ils sont en fait des composants des kits d'outils post-exploitation Carbanak et Lizar/Tirion, qui ont tous deux été précédemment attribués au groupe FIN7 et peuvent être utilisés à la fois pour les infections du système de point de vente et les attaques de ransomware.

Avant 2020, le mode opératoire principal de FIN7 consistait à compromettre les réseaux des entreprises et à infecter les systèmes de point de vente avec des logiciels malveillants de vol de cartes de crédit. Depuis 2020, les chercheurs en cybersécurité ont identifié des cas dans lesquels FIN7 a eu accès à des réseaux d'entreprise qui ont ensuite été infectés par le ransomware REvil ou Ryuk. L'implication exacte de FIN7 dans le déploiement des ransomwares, c'est-à-dire s'ils ont vendu l'accès à des groupes de ransomwares ou s'ils ont formé un partenariat avec ces groupes, reste incertaine. Cependant, les tâches assignées à la source Gemini par FIN7 (opérant sous le couvert de Bastion Secure) correspondaient aux mesures prises pour préparer une attaque de ransomware, fournissant une preuve supplémentaire que FIN7 s'est étendu dans la sphère des ransomwares.

De plus, en raison de l'utilisation par Bastion Secure de Carbanak et de Lizar/Tirion et de la pratique établie de FIN7 consistant à utiliser de fausses sociétés de cybersécurité pour recruter des talents, Gemini évalue avec une grande confiance que FIN7 utilise la société fictive Bastion Secure pour recruter des spécialistes informatiques involontaires pour participer à des attaques de ransomware.


Plus généralement, la décision de FIN7 d'utiliser une fausse entreprise de cybersécurité pour recruter des spécialistes en informatique pour son activité criminelle est motivée par le désir de FIN7 de disposer d'une main-d'œuvre qualifiée relativement bon marché. Les offres d'emploi de Bastion Secure pour des postes de spécialiste informatique allaient de 800 $ à 1 200 $ US par mois, ce qui est un salaire de départ viable pour ce type de poste dans les États postsoviétiques. Cependant, ce « salaire » serait une petite fraction de la part d'un cybercriminel des bénéfices criminels d'une extorsion réussie de ransomware ou d'une opération de vol de cartes de paiement à grande échelle. En effet, le système de fausse société de FIN7 permet aux opérateurs de FIN7 d'obtenir les talents dont le groupe a besoin pour mener à bien ses activités criminelles, tout en conservant une part plus importante des bénéfices.

L'utilisation par FIN7 de Bastion Secure, même après la découverte de Combi Security, la précédente fausse société de cybersécurité du groupe, indique que FIN7 continue de croire que l'embauche de spécialistes informatiques involontaires est la meilleure méthode du groupe pour équilibrer le besoin d'une équipe techniquement qualifiée par rapport aux désirs de profits maximaux des opérateurs.

Bastion Secure

Avec la dernière fausse société de FIN7, Bastion Secure, le groupe criminel a exploité des informations vraies et accessibles au public de diverses sociétés de cybersécurité légitimes pour créer un mince voile de légitimité autour de Bastion Secure. En effet, FIN7 adopte des tactiques de désinformation de sorte que si une embauche potentielle ou une partie intéressée faisait des recherches sur Bastion Secure, une recherche rapide sur Google renverrait des informations « vraies » pour les entreprises ayant un nom ou un secteur similaire à Bastion Secure de FIN7.

La première étape de FIN7 pour obtenir un voile de légitimité a été de donner à leur fausse société le nom générique « Bastion Secure », qui ressemble à plusieurs sociétés non liées à la sécurité avec des résultats de recherche Google hautement répertoriés :
  • Bastion Security Products Ltd : une société américaine de sécurité physique récemment rachetée par ECAMSECURE
  • Bastion Security Group : une société américaine de conseil en sécurité physique

Deuxièmement, Bastion Secure a répertorié les adresses des bureaux de l'entreprise comme suit :
  • 16e Follingsby Ave, Gateshead, Royaume-Uni (ancienne adresse de Bastion Security (North) Limited, fermé depuis)
  • 94 Yigal Alon St. Tower 1, Tel Aviv, Israël (immeuble de bureaux contenant plusieurs entreprises, y compris la société de sécurité des véhicules Cymotive)
  • Imperia Tower, 12 Presnenskaya Embankment, Moscou, 123100 Russie (immeuble de bureaux contenant plusieurs entreprises). Gemini a contacté les administrateurs de l'immeuble de la tour Imperia, qui ont confirmé qu'il n'y avait pas d'entreprise nommée Bastion Secure avec des bureaux dans l'immeuble.
  • Fortis Tower, 77-79 Gloucester Rd, Wan Chai, Hong Kong (immeuble de bureaux contenant plusieurs entreprises). Les administrateurs des bâtiments de la Fortis Tower n'ont pas répondu aux demandes de renseignements de Gemini ; cependant, les archives publiques du « Centre de recherche cybernétique du registre des entreprises » du gouvernement de Hong Kong ont révélé qu'il n'y avait aucune société enregistrée nommée « Bastion Secure » opérant à Hong Kong.

De plus, le site Web de Bastion Secure lui-même semble également légitime à première vue. Cependant, une analyse plus approfondie a révélé que le site Web est en grande partie une copie du site Web de Convergent Network Solutions Ltd., une entreprise de cybersécurité légitime. En outre, le site Web Bastion Secure est hébergé sur le registraire de domaine russe Beget, que les cybercriminels utilisent couramment.


Une première analyse du site Web Bastion Secure a révélé que la plupart des sous-menus du site renvoient une erreur HTTP 404 en russe, indiquant que les créateurs du site étaient russophones. Depuis l'analyse initiale de Gemini, la plupart des sous-menus du site Web ont été corrigés avec des pages appropriées ; cependant, une analyse plus approfondie a révélé que certaines des erreurs HTTP 404 ne sont toujours pas corrigées.


Pour recruter des spécialistes en informatique, Bastion Secure publie des offres d'emploi d'apparence légitime à la fois sur son site Web et sur des sites de recherche d'emploi de premier plan dans les États post-soviétiques, tout en fournissant des contacts réputés aux recrues potentielles pour une crédibilité supplémentaire. Au cours des derniers mois, Bastion Secure a publié des offres d'emploi pour les administrateurs système sur des sites de recherche d'emploi et a ajouté de nouvelles offres d'emploi pour les programmeurs PHP, Python et C++ et les rétro-ingénieurs sur leur site Web. Sur ces sites d'emploi, Bastion Secure fournit des informations suffisamment professionnelles pour apparaître légitimes et comprend de prétendues informations de bureau et un numéro de téléphone (+7 499-642-3420). Bastion Secure a également publié des offres sur des sites d'emploi russes et ukrainiens légitimes.

Source : Gemini Advisory

Et vous ?

Quelle lecture en faites-vous ?

Une erreur dans cette actualité ? Signalez-nous-la !

1 commentaire
Commenter Signaler un problème
marsupial
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 24/10/2021 à 16:44
Mais jusqu'où iront-ils ? Crédule et naïf comme je suis, à tous les coups je me ferai berner.
0  0