РБК: «русских хакеров» для взломов в США искали на российских сайтах вакансий

РБК выяснил, что хакерская группировка FIN7, причастная ко взломам более 100 американских компаний и хищению данных 15 млн банковских карт, искала сотрудников через легальные российские сайты вакансий и компании-ширмы. Одна из них — Combi Security — уже рассекречена правоохранителями. Другая фирма, найденная РБК, оказалась ООО, созданным выпускниками московского технического вуза.

Причем тут FIN7. Компания Combi Security — вскрытая правоохранительными органами США ширма хакерской группировки. Известно, что через нее FIN7 искали себе разработчиков и взломщиков. Но до сих пор не было известно, что до 2016 года страница Combi Security на порталах вакансий, в том числе SuperJob, называлась «Легион-Ремоут» — а на некоторых порталах до сих пор указано, что под брендом Combi Security работает «Легион-Ремоут».

Кто создал «Легион-Ремоут». Компания «Легион-Ремоут» по разработке ПО появилась в 2015 году в Москве, затем в Минске. Обе зарегистрировал Владимир Завгородний. Будущий «айтишник» сначала работал на Тульском механическом заводе, потом создал небольшую компанию по поставкам промышленного оборудования и переехал в Москву.

К IT-бизнесу отца присоединился сын Завгороднего, Артем. Сообщения от него под ником zavartyom РБК обнаружил на форумах по обналичиванию и на хакерских форумах по продаже краденых данных: zavartyom пытался продать данные о нескольких картах МТС Банка. С 2015 по 2017 годы Артем Завгородний работал в «Легион-Ремоут» — был «венчурным партнером», говорится на его странице в LinkedIn. Еще один сотрудник «Легион-Ремоут» — однокурсник Артема по МГУПИ Иван Аляпкин, запись о работе в этой компании есть на его личной странице во «ВКонтакте», факт работы в компании Аляпкин подтвердил РБК.

Как хакеры ищут взломщиков на порталах с вакансиями. «Легион-Ремоут» просто выкладывала вакансии IT-специалистов, в основном реверс-инженеров. Это специалисты, которые могут восстановить исходный текст программы по готовому коду и при необходимости внести в него изменения​​. Среди требований к сотрудникам — уроженцам России, Белоруссии и Украины — было, например, базовое понимание разработки эксплойтов, то есть программ для проведения атаки на вычислительные системы с помощью уязвимостей в установленном софте. Разработкой легального софта компания не занималась, свидетельствуют данные из базы «Лаборатории Касперского», которая собирает информацию обо всем легальном ПО.

Сотрудники компаний-ширм не в курсе, для чего были наняты, рассказал РБК один из работавших на Combi Security. Рядовые сотрудники не встречаются друг с другом и даже не знакомы со своими менеджерами, объясняет он: «Все проходило удаленно: давалось задание и время на выполнение, мы возвращали результат. Собственно, все были уверены, что мы работаем как red team (команда тестеров, которые имитируют атаку хакеров), но легально».

Скопировать ссылку

Война между Израилем и Ираном и ее последствия для России, первое крушение Dreamliner и Telegram под прицелом

На Ближнем Востоке началась по-настоящему серьезная война: Израиль нанес удар по ядерным объектам Ирана и ликвидировал иранскую военную верхушку. Иран ответил ракетными ударами по Тель-Авиву, но пока не похоже, что противник способен нанести Израилю серьезный ущерб. В Кремле в этой ситуации следят за ценами на нефть — на новостях они скакнули на 7%, но для того, чтобы помочь российскому бюджету, цены должны оставаться повышенными долго, а для этого пока видимых предпосылок нет.

Как устроен рынок фальшивых VPN, расследования против Telegram и AI-сделка Цукерберга

Роскомнадзор продолжает активно бороться с инструментами обхода блокировок. Недавно мы писали, как под давлением российских властей Apple и Google убирают VPN-сервисы из своих российских магазинов приложений. Но самих VPN от этого меньше не становится. В поисках рабочего решения люди часто обращаются к сервисам, которые обещают гарантированный обход блокировок, и это открывает огромные возможности для мошенников. Вместе с Саркисом Дарбиняном, киберадвокатом и экспертом RKS Global и VPN Guild, разбираемся, как устроен рынок фальшивых VPN и как в этом многообразии найти безопасный сервис.

Рассылки The Bell стали платными. Подписывайтесь!

НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН И РАСПРОСТРАНЕН ИНОСТРАННЫМ АГЕНТОМ THE BELL ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА THE BELL. 18+

ETF на волатильность: как зарабатывать на рыночных колебаниях

НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН И РАСПРОСТРАНЕН ИНОСТРАННЫМ АГЕНТОМ THE BELL ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА THE BELL. 18+