Mi jefe es un ciberterrorista: un grupo de crackers ofertaba trabajos legítimos en webs de empleo para reclutar cómplices involuntarios

La oferta de empleo parecía legítima. Contrato laboral, horario de oficina y completamente en remoto. La empresa que la lanzaba, además, tenía una web en la que mostraba sus servicios profesionales, vinculados a la ciberseguridad. Todo aparentaba estar en orden, pero la supuesta compañía de seguridad informática era la tapadera de un grupo de ciberdelincuentes para atraer talento tecnológico con el objetivo de reclutar a nuevos miembros para su organización criminal, según una investigación de la firma de ciberseguridad Recorded Future en colaboración con Microsoft.

La intención de los delincuentes era formar un nutrido grupo de “cómplices involuntarios” que les ayudasen a allanar el camino para sus ataques sin saber exactamente qué estaban haciendo, con un doble propósito: conseguir trabajadores que, de conocer la verdad, no querrían colaborar con criminales, y pagarles como empleados y no como coautores de delitos millonarios, con lo que se ahorrarían mucho dinero. No obstante, como se verá más adelante, cualquier profesional TIC tenía elementos de sobra para, al menos, sospechar desde el primer momento.

El grupo de ciberdelincuentes detrás de esta empresa sería Fin7, el mismo que Microsoft vincula al ataque a la compañía de oleoductos estadounidense Colonial Pipeline del pasado mes de mayo, hecho que provocó un desabastecimiento de enorme gravedad en parte del país. Esa misma organización, presuntamente rusa, también estaría detrás de otros delitos como robo de datos bancarios a gran escala o ataques con ransomware a distintas instituciones y empresas.

La empresa pantalla en cuestión se llama Bastion Secure. La investigación de Recorded Future señala que los ciberdelincuentes, sirviéndose de información real y pública de otras compañías de ciberseguridad legítima -números de teléfono o ubicaciones de oficinas- habrían construido una apariencia de realidad de cara al público de la supuesta organización. Incluso llegaron a incluir en la web que habían ganado varios premios de seguridad reales, algo que los investigadores desmintieron con una simple búsqueda en Google.

Las ofertas de empleo de Bastion Secure estaban destinadas a programadores, administradores de sistemas y profesionales de ingeniería inversa en C ++, Python y PHP. Una de ellas, que se puede ver más abajo en una captura de pantalla compartida por Recorded Future, ofrecía un puesto de administrador de sistemas de Windows en Rusia, de lunes a viernes y con una jornada de entre 9 y 12 horas. Ciberdelincuentes y, además, explotadores.

Captura de pantalla de la oferta de trabajo de Bastion Secure facilitada por Recorded Future.

De hecho, la investigación también ahonda en las condiciones laborales que ofrecían, y señala que los sueldos para puestos de especialistas TIC oscilaban entre los 800 y los 1.200 dólares mensuales, cantidades bajísimas para países occidentales pero que, de acuerdo con el documento, son aceptables para el nivel de vida de las antiguas repúblicas soviéticas.

El proceso de selección

Para comenzar a hacer estas averiguaciones, Recorded Future colaboró con una persona que se sometió al proceso de selección de la compañía tapadera de Fin7. Al principio, señalan, todo fue normal: alguien de recursos humanos de Bastion Secure contactó con el candidato y concertó una entrevista con él. Y a partir de ahí las cosas empezaron a ponerse raras.

En primer lugar, la entrevista de trabajo se realizó enteramente por escrito a través de Telegram. Superado con éxito este paso, el candidato realizó algunas tareas prácticas relacionadas con el puesto, para lo que tuvo que instalar herramientas que pueden usarse tanto para pruebas de ciberseguridad legítimas como para actividad maliciosa. Solventada también esta fase, le asignaron un supuesto cliente real para hacerle una prueba definitiva.

“La tarea consistía en utilizar un un script para recopilar información sobre administradores de dominio, relaciones de confianza de dominio, recursos compartidos de archivos, copias de seguridad e hipervisores”, señala el informe, que también especifica que durante el proceso el candidato detectó que la compañía le “proporcionó acceso a la red de la empresa sin ninguna documentación o explicación legal, lo que sugiere que el acceso puede haber sido adquirido a través de ingeniería social o comprado en la web oscura; solo estaba interesada en sistemas de archivos y copias de seguridad; requirió que el empleado usara herramientas específicas para evitar ser detectado; y le advirtió sobre una fuerte multa si instalaba software antivirus en la máquina virtual que estaban usando”.

Recorded Future analizó los archivos que fueron enviados a esta persona y encontró herramientas de post-explotación Carbanak y Lizar / Tirion, que forman parte de cualquier ataque con ransomware, ya que son las que permiten a los delincuentes controlar los dispositivos infectados después de haber obtenido acceso inicial a la red de la organización víctima.

Ver todos los comentarios en https://www.xataka.com

VER 7 Comentarios

Portada de Xataka