Schabernack von Carbanak

Hacker gründen falsche Pentesting-Firma für echte Cyberattacken

Uhr
von Coen Kaat und kfi

Eine Cybersecurity-Firma sucht derzeit neue Fachkräfte. Diese sollen vermeintlich für einen Pentest andere Unternehmen hacken. Aber diese angeblichen Pentesting-Kunden wissen davon gar nichts.

(Source: peshkov/iStock.com)
(Source: peshkov/iStock.com)

Die Cybersecurity-Firma Bastion Security heuert IT-Spezialisten für Pentests an. Das Unternehmen mit Sitz in England sucht spezifisch nach Programmierern mit Kenntnissen der Programmiersprachen C++, PHP und Python sowie Windows-Systemadministratoren und Experten im Bereich Reverse Engineering. Als Gehalt verspricht Bastion Security zwischen 800 und 1200 US-Dollar pro Monat.

Wer sich bewirbt, durchläuft einen typischen Bewerbungsprozess - inklusive Bewerbungsgespräch, Arbeits- und Geheimhaltungsverträgen sowie einer Grundausbildung. Der erste Auftrag eines neuen Teammitglieds? In das Netzwerk eines Unternehmens eindringen und Informationen über Admin-Accounts und Backups sammeln.

Das Stelleninserat von Bastion Security. (Source: Gemini Advisory)

Das Unternehmen, in dessen Netzwerk man eindringen soll, soll ein Kunde sein, der ein Pentest wünscht. Aber dieser angebliche Kunde weiss nichts von einem Pentest. Denn die Firma Bastion Security existiert gar nicht.

Hackergruppe rekrutiert

Die vermeintliche Cybersecurity-Firma ist nur eine Fassade. Die Hackergruppe FIN7 (auch bekannt als Carbanak) will so legitimie IT-Spezialisten anheuren, damit diese unwissentlich die Drecksarbeit erledigen.

Der Hackergruppe auf die Schliche kam die tatsächlich existierende Cybersecurity-Firma Gemini Advisory mit Sitz in Miami. Ein Informant des Unternehmens hatte sich bei Bastion beworben und anschliessend Gemini die Informationen gesteckt.

Gemini geht davon aus, dass FIN7 auf diese Weise versucht, in den lukrativen Ransomware-Markt einzusteigen. Die Hackergruppe, die seit 2015 aktiv ist, ist vor allem dafür berüchtigt, dass sie POS-Lösungen infiziert und im grossen Stil Geld stiehlt.

Mit den Informationen, welche die vermeintlichen Pentester erlangen, und den Fähigkeiten, welche diese mitbringen, hat man alles, was man braucht, um ein Opfer sehr effizient mit einer Ransomware zu infizieren. Würde FIN7 den regulären cyberkriminellen Weg gehen und ihre Opfer über einen im Darknet gefundenen Ransomware-Partner infizieren, müssten sie diesem bis zu 80 Prozent der Lösegelder abgeben.

Ob hinter Bastion Security wirklich FIN7 steckt, ist nicht 100-prozentig gewiss, aber sehr wahrscheinlich. Die Tools, die neue Mitarbeitende erhalten, sind dieselben, die auch die Hackergruppe nutzt. Zwar wurde deren Quellcode vor rund zwei Jahren veröffentlicht. Aber die von Bastion genutzten Tools sind laut Gemini eine weiter entwickelte Version der damals veröffentlichten Werkzeuge.

Russische Fehlermeldungen

Selbst wenn es nicht FIN7 ist: Ein näherer Blick auf die Website der angeblichen Pentesting-Firma Bastion Security zeigt, dass da auch so einiges nicht stimmt. So soll die Firma etwa ihren Sitz in England haben - die 404-Fehler auf der Website werden allerdings auf Russisch dargestellt. Zudem ist die ganze Website eher ein Potpourri an Inhalten, die von anderen Websites geklaut wurden.

Russische Fehlermeldungen auf einer angeblich englischen Website. (Source: Gemini Advisory)

Ein weiterer Hinweis darauf, dass die Firma nicht in England sein kann: das Gehalt. Für eine britische Firma wäre das kein sehr guter Lohn für IT-Fachkräfte. In ehemaligen GUS-Staaten wäre das Angebot jedoch ein durchaus realistischer Einstiegslohn, wie Gemini schreibt.

Und der wohl deutlichste Hinweis: Als dem neuen Mitarbeitenden gesagt wurde, er oder sie solle eine Firma hacken, konnte die Firma keinerlei rechtlichen Unterlagen für diese Pentesting-Aktivitäten vorlegen.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_235094