Онлайн
Alvaros
.
- Регистрация
- 14.05.16
- Сообщения
- 21.452
- Реакции
- 101
- Репутация
- 204
Раскрыта личность загадочного русскоязычного хакера, заработавшего 100 миллионов на доступе к корпоративным сетям
25.06.2020, Чт, 09:30, Мск , Текст: Дмитрий Степанов
Русскоязычный хакер под ником Fxmsp заработал как минимум 100 млн руб., продавая доступ к сетям компаний из 44 стран мира. Российская ИБ-компания Group-IB проанализировала деятельность киберпреступника и установила его предполагаемую личность.
100 миллионов за три года
Эксперты российской компании Group-IB, специализирующейся на предотвращении кибератак, раскрыли предположительную личность одного из самых активных торговцев доступом к корпоративным сетям компаний по всему миру, действовавшего через «подпольный» интернет или даркнет.
Согласно аналитическому отчету ИБ-компании, русскоязычный хакер под псевдонимом Fxmsp менее чем за три года своей деятельности скомпрометировал около 135 компании в 44 странах мира. По минимальным оценкам прибыль вероятного киберпреступника за период его активности могла составлять $1,5 млн или около 100 млн руб. Причем эта сумма не учитывает «приватные» и повторные продажи, а также порядка 20% лотов по компаниям, доступ к которым предлагался без указания цены.
Топ-3 жертв хакера составляют предприятия легкой промышленности, провайдеры ИТ-сервисов и ритейл. В послужном списке Fxmsp также присутствуют банки, ТЭК, телекоммуникационные операторы. Среди атакованных злоумышленником организаций было как минимум четыре участника рейтинга “Global 500 | Fortune” за 2019 г.
Хронология деятельности хакера
По данным экспертов, Fxmsp начал свою деятельность в 2017 г., а уже ко второй половине года стал самым заметным игроком и абсолютным лидером по числу лотов в нише продаж доступа к корпоративным сетям.
Основная активность хакера пришлась на 2018 г. В период с июля по октябрь, согласно отчету Group-IB, в партнерстве с сообщником под ником Lampeduza, который выступал менеджером по продажам, заработал более $1,1 млн.
Географическое распределение жертв Fxmsp
В октябре 2019 г. киберпреступники взяли «тайм-аут» после блокировки их учетных записей на одном из андеграундных форумов за попытку продать доступ к сети одного и то же предприятия нескольким покупателям. Fxmsp и Lameduza ушли в «приват» до середины марта 2019 г., после чего возобновили свою деятельность, используя другие форумы в качестве торговой площадки.
Никнейм Fxmsp стал широко
Распределение жерты Fxmsp по индустриям
Сотрудничество Fxmsp и Lampeduza затем продолжалось до декабря 2019 г.
По данным исследования Group-IB, с начала 2020 г. порядка более 40 киберпреступников промышляют «ремеслом» Fxmsp на андеграундных форумах. Всего за это время было выставлено более чем 150 лотов по продаже доступов в корпоративные сети компаний различных отраслей.
Техника получения доступа
Согласно отчету Group-IB, Fxmsp не применял методику фишинговых рассылок для проникновения в корпоративные сети. Вместо этого хакер занимался сканированием диапазонов IP-адресов в поисках открытого стандартного порта 3389, который используется для получения удаленного доступа к компьютерам с ОС Windows по протоколу RPD (Remode Desktop Protocol).
Затем с помощью специального ПО злоумышленник получал список пользователей атакованной машины, после чего осуществлял подбор пароля методом перебора.
После получения доступа к целевой машине хакер отключал антивирусное ПО и файерволл, а также создавал дополнительные учетные записи. Для закрепления в системе Fxmsp оставлял бэкдор с таймером. Примечательно, что соединение бэкдора с управляющим сервером происходило с огромным интервалом – раз в 15 дней, что затрудняло его обнаружение анализаторами трафика.
Бэкдоры также устанавливались и на серверы, содержащие резервные копии (бэкапы) уже скомпрометированной системы. Таким образом, даже если жертва и заметила бы подозрительную активность и приняла меры, то «откат» системы из бэкапа позволил бы взломщику вернуть себе контроль над ранее захваченной системой.
Вероятная личность преступника
Одной из зацепок в деле деанонимизации вероятного злоумышленника для Group-IB стал его достаточно редкий псевдоним. Специалистам компании удалось найти адрес электронной почты, содержащий последовательность символов “fxmsp”, выданный одним из крупнейших российских email-сервисов.
Как выяснилось дальше, этот адрес использовался при регистрации на ряде «подпольных» форумов, которыми пользовался хакер. Кроме того, этот адрес использовался при регистрации одного домена в зоне .info на некоего “andej a turchin”.
Также специалисты Group-IB обнаружили, что к данному почтовому адресу привязана учетная запись в социальной сети «Мой мир», владелец которой даже прикрепил, предположительно собственную, фотографию. В социальной сети «Вконтакте» была найдена страница с именем пользователя «Андрей Турчин» и аналогичным фото.
В отчете Group-IB приводится ряд других доказательств в пользу того, что именно Андрей Турчин из Алматы (Казахстан) является злоумышленником, который скрывается под никнеймом Fxmsp.
Материалы по установлению предположительной личности Fxmsp переданы Group-IB в международные правоохранительные органы, сообщили в компании. Специалисты не исключают, что хакер продолжает свою деятельность по взлому сетей компаний и все еще представляет угрозу.
You must be registered for see links
You must be registered for see links
You must be registered for see links
You must be registered for see links
You must be registered for see links
25.06.2020, Чт, 09:30, Мск , Текст: Дмитрий Степанов
Русскоязычный хакер под ником Fxmsp заработал как минимум 100 млн руб., продавая доступ к сетям компаний из 44 стран мира. Российская ИБ-компания Group-IB проанализировала деятельность киберпреступника и установила его предполагаемую личность.
100 миллионов за три года
Эксперты российской компании Group-IB, специализирующейся на предотвращении кибератак, раскрыли предположительную личность одного из самых активных торговцев доступом к корпоративным сетям компаний по всему миру, действовавшего через «подпольный» интернет или даркнет.
Согласно аналитическому отчету ИБ-компании, русскоязычный хакер под псевдонимом Fxmsp менее чем за три года своей деятельности скомпрометировал около 135 компании в 44 странах мира. По минимальным оценкам прибыль вероятного киберпреступника за период его активности могла составлять $1,5 млн или около 100 млн руб. Причем эта сумма не учитывает «приватные» и повторные продажи, а также порядка 20% лотов по компаниям, доступ к которым предлагался без указания цены.
Топ-3 жертв хакера составляют предприятия легкой промышленности, провайдеры ИТ-сервисов и ритейл. В послужном списке Fxmsp также присутствуют банки, ТЭК, телекоммуникационные операторы. Среди атакованных злоумышленником организаций было как минимум четыре участника рейтинга “Global 500 | Fortune” за 2019 г.
Хронология деятельности хакера
По данным экспертов, Fxmsp начал свою деятельность в 2017 г., а уже ко второй половине года стал самым заметным игроком и абсолютным лидером по числу лотов в нише продаж доступа к корпоративным сетям.
Основная активность хакера пришлась на 2018 г. В период с июля по октябрь, согласно отчету Group-IB, в партнерстве с сообщником под ником Lampeduza, который выступал менеджером по продажам, заработал более $1,1 млн.
Географическое распределение жертв Fxmsp
В октябре 2019 г. киберпреступники взяли «тайм-аут» после блокировки их учетных записей на одном из андеграундных форумов за попытку продать доступ к сети одного и то же предприятия нескольким покупателям. Fxmsp и Lameduza ушли в «приват» до середины марта 2019 г., после чего возобновили свою деятельность, используя другие форумы в качестве торговой площадки.
Никнейм Fxmsp стал широко
You must be registered for see links
в мае 2019 г. в связи с появлением в СМИ новости о получении доступа в защищенные сети трех ведущих антивирусных компаний. Хакеры тогда не раскрыли названия компаний, но опубликовали список специфических индикаторов, с помощью которых можно понять, о ком идет речь. Из скриншотов переписки злоумышленников, опубликованных экспертами по безопасности компании Advintel стало ясно, что жертвами стали американские Symantec, McAfee и Trend Micro. Последняя признала факт несанкционированного доступа к своей инфраструктуре, отметив, однако, что ничего существенного – ни данных пользователей, ни исходного кода продуктов – похищено не было.Распределение жерты Fxmsp по индустриям
Сотрудничество Fxmsp и Lampeduza затем продолжалось до декабря 2019 г.
По данным исследования Group-IB, с начала 2020 г. порядка более 40 киберпреступников промышляют «ремеслом» Fxmsp на андеграундных форумах. Всего за это время было выставлено более чем 150 лотов по продаже доступов в корпоративные сети компаний различных отраслей.
Техника получения доступа
Согласно отчету Group-IB, Fxmsp не применял методику фишинговых рассылок для проникновения в корпоративные сети. Вместо этого хакер занимался сканированием диапазонов IP-адресов в поисках открытого стандартного порта 3389, который используется для получения удаленного доступа к компьютерам с ОС Windows по протоколу RPD (Remode Desktop Protocol).
Затем с помощью специального ПО злоумышленник получал список пользователей атакованной машины, после чего осуществлял подбор пароля методом перебора.
После получения доступа к целевой машине хакер отключал антивирусное ПО и файерволл, а также создавал дополнительные учетные записи. Для закрепления в системе Fxmsp оставлял бэкдор с таймером. Примечательно, что соединение бэкдора с управляющим сервером происходило с огромным интервалом – раз в 15 дней, что затрудняло его обнаружение анализаторами трафика.
Бэкдоры также устанавливались и на серверы, содержащие резервные копии (бэкапы) уже скомпрометированной системы. Таким образом, даже если жертва и заметила бы подозрительную активность и приняла меры, то «откат» системы из бэкапа позволил бы взломщику вернуть себе контроль над ранее захваченной системой.
Вероятная личность преступника
Одной из зацепок в деле деанонимизации вероятного злоумышленника для Group-IB стал его достаточно редкий псевдоним. Специалистам компании удалось найти адрес электронной почты, содержащий последовательность символов “fxmsp”, выданный одним из крупнейших российских email-сервисов.
Как выяснилось дальше, этот адрес использовался при регистрации на ряде «подпольных» форумов, которыми пользовался хакер. Кроме того, этот адрес использовался при регистрации одного домена в зоне .info на некоего “andej a turchin”.
Также специалисты Group-IB обнаружили, что к данному почтовому адресу привязана учетная запись в социальной сети «Мой мир», владелец которой даже прикрепил, предположительно собственную, фотографию. В социальной сети «Вконтакте» была найдена страница с именем пользователя «Андрей Турчин» и аналогичным фото.
В отчете Group-IB приводится ряд других доказательств в пользу того, что именно Андрей Турчин из Алматы (Казахстан) является злоумышленником, который скрывается под никнеймом Fxmsp.
Материалы по установлению предположительной личности Fxmsp переданы Group-IB в международные правоохранительные органы, сообщили в компании. Специалисты не исключают, что хакер продолжает свою деятельность по взлому сетей компаний и все еще представляет угрозу.
-
You must be registered for see links
-
You must be registered for see links
-
You must be registered for see links