Toto počínání dokazuje případ zavedené ruské hackerské skupiny FIN7, která funguje od roku 2015. Podle výzkumníků z poradenské jednotky Gemini Advisory společnosti Recorded Future skupina založila a provozovala firmu Bastion Secure – se sídlem na skutečné adrese, několika pobočkami po celém světě, telefonními čísly, vlastními firemní webovými stránkami, a vše bylo podpořeno výsledky v Google vyhledávači a pozitivními referencemi zastřešenými renomovanými světovými firmami. „Firma Bastion Secure pro soukromé společnosti a organizace z veřejného sektoru měla poskytovat služby v oblasti penetračních testů, což je metoda ověření zabezpečení počítačových zařízení, systémů nebo aplikací,“ vysvětluje Martin Lohnert, specialista pro oblast kyberbezpečnosti v technologické společnosti Soitron.

Homepage společnosti Bastion Security

Jenže uvedená společnost byla pouze zástěrku pro zveřejňování inzerátů na pracovních portálech s cílem najmout na různé pozice experty na kybernetickou bezpečnost. Pracovní nabídky lákaly softwarové inženýry, systémové administrátory, či programátory. Na ty, kteří se přihlásili, čekal třífázový pohovor:

• První kolo: žadatelé o zaměstnání absolvovali videopohovor s HR zástupcem Bastion Secure. Po úspěšném absolvování došlo k podepsání dohody o mlčenlivosti.
• Druhé kolo: již zaměstnanci obdrželi od společnosti legitimní nástroje potřebné k penetračnímu testování, aby mohli plnit úkoly.
• Třetí kolo: zaměstnanci obdrželi zadání, ve kterém byli vyzváni, aby provedli penetrační test pro jedno ze zákazníků Bastion Secure.

Je potřeba zdůraznit, že v tomto procesu se nikde neobjevily žádné právní dokumenty opravňující testera penetrační test provést, jak je v takovýchto případech zvykem. „Tím existuje riziko, že pokud by byl tester odhalen, mohl by být podle platné legislativy státu, ve které společnost, kterou testuje, stíhán. On jako jednotlivec, nikoliv hackerský gang, pro který pracoval. Byl by to totiž on, kdo pokusy o útok provádí,“ zdůrazňuje Martin Lohnert.

Zástupci Bastion Secure po těchto svých zaměstnancích dále požadovali, aby v případě úspěšného proniknutí do podnikového systému hledali především firemní data, včetně záloh. Vše vlastně odpovídalo krokům, které se provádí při pokusu o ransomwarový útok.

Pokud jde o důvody, proč zločinecká skupina jako FIN7 zašla tak daleko, aby provozovala falešnou bezpečnostní společnost, odpověď je nasnadě. „Najmout člověka pro nelegální aktivity není vůbec snadné. Šikovných pen-testerů je nedostatek a na trhu jsou atraktivní nabídky od renomovaných firem, kde jim rozhodně nehrozí trestní stíhaní. Pro FIN7 bude proto snazší i levnější získat takto nic netušící zaměstnance než spolupracovat s jinými hackerskými skupinami nebo hackery rekrutovanými z darknetu, kteří by třeba požadovali určité procento ze zisku,“ prozrazuje Martin Lohnert.

Taktika provozování falešné bezpečnostní firmy není nijak zvlášť nová. Sama skupina FIN7 ji už využila v roce 2010, kdy používala další falešnou bezpečnostní firmu s názvem Combi Security. „Alarmující na tomto příkladu je však to, že v dnešní době práce z domova, lidi hledající práci, či přivýdělek mnohdy nenapadne verifikovat zakázky zaměstnavatele. A už vůbec je nemusí napadnout, k čemu všemu mohou být zneužití. Automaticky předpokládají, že společnost, která o ně má zájem je legitimní, a tudíž ji důvěřují ve všem. Včetně toho, že od svého zákazníka má povolení provádět penetrační testy,“ uzavírá Martin Lohnert.