РБК выяснил, что хакерская группировка FIN7, причастная ко взломам более 100 американских компаний и хищению данных 15 млн банковских карт, искала сотрудников через легальные российские сайты вакансий и компании-ширмы. Одна из них — Combi Security — уже рассекречена правоохранителями. Другая фирма, найденная РБК, оказалась ООО, созданным выпускниками московского технического вуза.
Причем тут FIN7. Компания Combi Security — вскрытая правоохранительными органами США ширма хакерской группировки. Известно, что через нее FIN7 искали себе разработчиков и взломщиков. Но до сих пор не было известно, что до 2016 года страница Combi Security на порталах вакансий, в том числе SuperJob, называлась «Легион-Ремоут» — а на некоторых порталах до сих пор указано, что под брендом Combi Security работает «Легион-Ремоут».
Кто создал «Легион-Ремоут». Компания «Легион-Ремоут» по разработке ПО появилась в 2015 году в Москве, затем в Минске. Обе зарегистрировал Владимир Завгородний. Будущий «айтишник» сначала работал на Тульском механическом заводе, потом создал небольшую компанию по поставкам промышленного оборудования и переехал в Москву.
К IT-бизнесу отца присоединился сын Завгороднего, Артем. Сообщения от него под ником zavartyom РБК обнаружил на форумах по обналичиванию и на хакерских форумах по продаже краденых данных: zavartyom пытался продать данные о нескольких картах МТС Банка. С 2015 по 2017 годы Артем Завгородний работал в «Легион-Ремоут» — был «венчурным партнером», говорится на его странице в LinkedIn. Еще один сотрудник «Легион-Ремоут» — однокурсник Артема по МГУПИ Иван Аляпкин, запись о работе в этой компании есть на его личной странице во «ВКонтакте», факт работы в компании Аляпкин подтвердил РБК.
Как хакеры ищут взломщиков на порталах с вакансиями. «Легион-Ремоут» просто выкладывала вакансии IT-специалистов, в основном реверс-инженеров. Это специалисты, которые могут восстановить исходный текст программы по готовому коду и при необходимости внести в него изменения. Среди требований к сотрудникам — уроженцам России, Белоруссии и Украины — было, например, базовое понимание разработки эксплойтов, то есть программ для проведения атаки на вычислительные системы с помощью уязвимостей в установленном софте. Разработкой легального софта компания не занималась, свидетельствуют данные из базы «Лаборатории Касперского», которая собирает информацию обо всем легальном ПО.
Сотрудники компаний-ширм не в курсе, для чего были наняты, рассказал РБК один из работавших на Combi Security. Рядовые сотрудники не встречаются друг с другом и даже не знакомы со своими менеджерами, объясняет он: «Все проходило удаленно: давалось задание и время на выполнение, мы возвращали результат. Собственно, все были уверены, что мы работаем как red team (команда тестеров, которые имитируют атаку хакеров), но легально».