Les cybergangs sont des entreprises comme les autres : elles ont besoin d'embaucher du personnel qualifié pour répondre à leurs besoins. S'agissant d'opérateurs malveillants, cela consiste à trouver des profils spécialisés pour leur permettre de concevoir et lancer des cyberattaques et autres opérations de ransomware ciblées ou à grand échelle. C'est le cas de Fin17, affilié à la Russie, qui s'est illustré dans le milieu des années 2010 avec des attaques sur les terminaux des points de ventes exécutées en grâce à des outils tels que Carbanal et Lizar/Tirion. Plus de 20 millions de données relatives à des transactions bancaires ont notamment été exposées par leur biais.

Comme on est jamais mieux servi que par soi-même, Fin17 a ainsi posté, d'après une enquête de Gemini Advisory, des annonces d'emploi sur de nombreux job-boards - principalement en Russie et en Ukraine (joblum, jubee, rabota, remoteworkukraine...). Afin de rendre le plus crédible possible ses annonces, Fin17 a monté en parallèle un faux site web pointant vers une société de cybersécurité - fictive - baptisée Bastion Secure. « Pour recruter des spécialistes en informatique, Bastion Secure publie des offres d'emploi d'apparence légitime à la fois sur son site web et sur des sites de recherche d'emploi de premier plan dans les États post-soviétiques, tout en fournissant des contacts réputés aux recrues potentielles pour une crédibilité supplémentaire », explique Gemini Advisory. Au cours des derniers mois, Bastion Secure a publié des offres d'emploi pour les administrateurs système sur des sites de recherche d'emploi et en a ajouté d'autres sur son site web pour des programmeurs PHP, Python et C++ et spécialistes en rétro-ingénierie ».

Mieux éviter les agents infiltrés dans les forums du dark web

Les compétences recherchées sont orientées autour de la cartographie des systèmes compromis des entreprises, l'identification d'utilisateurs et de terminaux au sein des systèmes, ou encore la localisation de serveurs et de fichiers de sauvegarde. « Les offres d'emploi de Bastion Secure pour des postes de spécialiste informatique allaient de 800 $ à 1 200 $ par mois, ce qui est un salaire de départ viable pour ce type de poste dans les États post-soviétiques », indique Gemini Advisory. Un salaire de base complété en fonction des bénéfices. Cependant, ce « salaire » serait une petite fraction de l'ensemble de la rémunération, une part de variable - adossée à la réussite des campagnes malveillantes de Fin17 - venant la compléter. 

« Il n'est pas du tout surprenant qu'une opération de cybercriminalité tente de recruter via une fausse entreprise. L'embauche sur le dark web est problématique et risquée », a expliqué à Techcrunch Brett Callow, analyste en cybermenaces chez Emsisoft. « Les gangs de ransomwares sont moins bienvenus sur certains forums de cybercriminalité qu’ils ne l’étaient auparavant, et les candidats pourraient potentiellement être des agents des forces de l’ordre travaillant sous couverture. L'utilisation d'offres d'emploi standard résout les deux problèmes, tandis que la fausse entreprise peut également servir à d'autres fins de blanchiment d'argent par exemple ».

Un précédent déjà chez Fin17

Ce n'est pas la première fois que Fin17 utilise un tel procédé pour attirer les profils taillés pour ses activités malveillantes. Le gang avait ainsi créé il y a quelques années un site similaire, Combi Security, qui avait été mis hors ligne avant que le pot aux roses ne soit découvert. Le site web de Fin17, qui a depuis été désactivé, disposait d'une interface crédible et donc assez trompeuse dont le design et le code source s'avère être totalement copié d'un site web légitime d'un véritable éditeur de sécurité, Convergent Network Solutions. Les similitudes ne se sont pas arrêtées au site web puisque les comptes sociaux (Twitter, LinkedIn, Facebook...) ont également été reproduits.