Bepillantás egy alvilági óriáscég életébe

A professzionalizmus szintje még a biztonsági szakértőket is meglepte.

A hackerek egyedül dolgoznak sötét pincékben, a csuklyát mélyen az arcukba húzva és a képernyőjükön megjelenő rejtélyes számsorok zöldes, fluoreszkáló fénye az egyetlen fényforrásuk. Legalábbis a filmipar ezt akarja elhitetni velünk és megalkotta a magányos farkasként tevékenykedő "hacker" képét. A kiberbűnözés alvilágából kikerült információk azonban azt mutatják, hogy a hackercsoportok úgy működnek, mint a modern vállalatok, amelyeknek pénzügyi és humán erőforrás részlegük, valamint szigorúan szervezett csapataik vannak. Az egyik esetben még olyan munkavállalói bónuszok is vannak, mint a fizetett betegszabadság és a 13. havi fizetés az első évben. Ez derült ki a Trickbot csoportról nyilvánosságra került adatokból.

A Cyjax biztonsági cég több tucat csevegési naplót elemzett, majd összeállította a jelentését. A dokumentum nem csupán a technikai működésbe nyújtott izgalmas betekintést, hanem azt is elárulja, hogy a csoport úgy szerveződik, mint egy - mondhatni "hétköznapi" nagyvállalat. Az anyag rávilágított, hogy nemcsak rendszeres eszmecsere van a legalább 133 alkalmazott között, hanem az értekezleteken ötleteket osztanak meg, manővereket kritizálnak és a tapasztalt kollégák tippeket adnak az újonnan érkezőknek az első munkanapokra. Úgy tűnik, még arra is vannak belső irányelvek, hogy hogyan kell a rosszindulatú szoftvereket létrehozni - úgymond ez egy közös minőségi szabvány.


A "Tricknet" minden csoportjának saját csapatvezetője van. Fölöttük áll a vezetőség, amely meghatározza a stratégiát és az irányt. Egy bizonyos "Silver" a technológiáért és a fejlesztésért felelős, míg "Frances" a fizetésekkel és az új munkatársakkal foglalkozik - más szóval ő a humánerőforrás-osztály vezetője. Egy kiszivárgott állásinterjú további részleteket is elárult a bűnszövetkezetről. Az interjúban egy új OSINT-csoport, azaz a "nyílt forrású hírszerzés", valószínűleg egyfajta "felderítő csoport" vezetőjét keresik. Az érdeklődő bizonytalan, de "Frances" saját "cégét" dicséri: kéthetente rendszeres fizetést, fizetett betegszabadságot és szabadságpénzt ígér. Ezenkívül a hálózat az első év után 13. havi fizetést nyújt. A Cyjax elemzéséből az is kiderül, hogy a Trickbot saját vállalati jogászokat alkalmaz.


Az ügyvezető igazgató vagy a tulajdonos személye nem ismert. "A főnök, akinek van pénze" - ahogy egy belső elnevezés szól - láthatóan ügyesen védi személyazonosságát, mert úgy tűnik, még a saját alkalmazottai sem ismerik őt. "Maga a főnök ritkán jön, átadja a pénzt, aztán megint lelép" - mesélte "Silver" az egyik alkalmazottnak. A kezdő fizetés a bűnszövetkezetben havi 2000 dollár körül van. A dolgozók fizetése kizárólag kriptovalutákban - elsősorban bitcoinban - történik. A HR-főnök Frances ehhez összegyűjti az összes munkavállaló virtuális pénztárcájának a címét.


A juttatásokért cserébe sokat követelnek az alkalmazottaktól: a rosszindulatú szoftverek fejlesztőinek szigorú határidőket kell betartaniuk. A "Trickbot" nem egyedül működik, hanem valószínűleg egy egész bűnszervezeti hálózat része. Ezt a hálózatot "Wizard Spider"-nek hívják. A professzionális szervezés és a szigorú szabályok, illetve a struktúra felépítése még a Cyjax kiberbiztonsági szakértőit is meglepte. "Ami korábban a kiberbűnözők laza hálózata volt, az ma már egy másokkal versenyző vállalat" - foglalták össze a véleményüket.

Jelenleg egyébként nem világos, hogy ki áll a Trickbot Network mögött. Jelenleg a "társaság" csendben van. Ez valószínűleg összefüggésben van az ukrán-orosz háborúval, ami feszültségekhez vezethetett a "cégen" belül, mivel sok munkatárs Ukrajnából származik, míg mások jó kapcsolatokat ápolnak az orosz belföldi hírszerző szolgálattal, az FSZB-vel és a Kremlben lévő döntéshozókkal. A biztonsági szakértők úgy vélték, hogy a Trickbot-hálózat átalakítás alatt áll. A csoport állítólag részt vett az Emotet, a Retefe és a Trickbot nevű banki trójai programok kifejlesztésében.