Спецпроекты

Раскрыта личность загадочного русскоязычного хакера, заработавшего 100 миллионов на доступе к корпоративным сетям

Безопасность Стратегия безопасности Бизнес Кадры Маркет
Русскоязычный хакер под ником Fxmsp заработал как минимум 100 млн руб., продавая доступ к сетям компаний из 44 стран мира. Российская ИБ-компания Group-IB проанализировала деятельность киберпреступника и установила его предполагаемую личность.

100 миллионов за три года

Эксперты российской компании Group-IB, специализирующейся на предотвращении кибератак, раскрыли предположительную личность одного из самых активных торговцев доступом к корпоративным сетям компаний по всему миру, действовавшего через «подпольный» интернет или даркнет.

Согласно аналитическому отчету ИБ-компании, русскоязычный хакер под псевдонимом Fxmsp менее чем за три года своей деятельности скомпрометировал около 135 компании в 44 странах мира. По минимальным оценкам прибыль вероятного киберпреступника за период его активности могла составлять $1,5 млн или около 100 млн руб. Причем эта сумма не учитывает «приватные» и повторные продажи, а также порядка 20% лотов по компаниям, доступ к которым предлагался без указания цены.

Топ-3 жертв хакера составляют предприятия легкой промышленности, провайдеры ИТ-сервисов и ритейл. В послужном списке Fxmsp также присутствуют банки, ТЭК, телекоммуникационные операторы. Среди атакованных злоумышленником организаций было как минимум четыре участника рейтинга “Global 500 | Fortune” за 2019 г.

Хронология деятельности хакера

По данным экспертов, Fxmsp начал свою деятельность в 2017 г., а уже ко второй половине года стал самым заметным игроком и абсолютным лидером по числу лотов в нише продаж доступа к корпоративным сетям.

Основная активность хакера пришлась на 2018 г. В период с июля по октябрь, согласно отчету Group-IB, в партнерстве с сообщником под ником Lampeduza, который выступал менеджером по продажам, заработал более $1,1 млн.

Географическое распределение жертв Fxmsp

В октябре 2019 г. киберпреступники взяли «тайм-аут» после блокировки их учетных записей на одном из андеграундных форумов за попытку продать доступ к сети одного и то же предприятия нескольким покупателям. Fxmsp и Lameduza ушли в «приват» до середины марта 2019 г., после чего возобновили свою деятельность, используя другие форумы в качестве торговой площадки.

Никнейм Fxmsp стал широко известен в мае 2019 г. в связи с появлением в СМИ новости о получении доступа в защищенные сети трех ведущих антивирусных компаний. Хакеры тогда не раскрыли названия компаний, но опубликовали список специфических индикаторов, с помощью которых можно понять, о ком идет речь. Из скриншотов переписки злоумышленников, опубликованных экспертами по безопасности компании Advintel стало ясно, что жертвами стали американские Symantec, McAfee и Trend Micro. Последняя признала факт несанкционированного доступа к своей инфраструктуре, отметив, однако, что ничего существенного – ни данных пользователей, ни исходного кода продуктов – похищено не было.

Распределение жерты Fxmsp по индустриям

Сотрудничество Fxmsp и Lampeduza затем продолжалось до декабря 2019 г.

По данным исследования Group-IB, с начала 2020 г. порядка более 40 киберпреступников промышляют «ремеслом» Fxmsp на андеграундных форумах. Всего за это время было выставлено более чем 150 лотов по продаже доступов в корпоративные сети компаний различных отраслей.

Техника получения доступа

Согласно отчету Group-IB, Fxmsp не применял методику фишинговых рассылок для проникновения в корпоративные сети. Вместо этого хакер занимался сканированием диапазонов IP-адресов в поисках открытого стандартного порта 3389, который используется для получения удаленного доступа к компьютерам с ОС Windows по протоколу RPD (Remode Desktop Protocol).

Затем с помощью специального ПО злоумышленник получал список пользователей атакованной машины, после чего осуществлял подбор пароля методом перебора.

После получения доступа к целевой машине хакер отключал антивирусное ПО и файерволл, а также создавал дополнительные учетные записи. Для закрепления в системе Fxmsp оставлял бэкдор с таймером. Примечательно, что соединение бэкдора с управляющим сервером происходило с огромным интервалом – раз в 15 дней, что затрудняло его обнаружение анализаторами трафика.

Бэкдоры также устанавливались и на серверы, содержащие резервные копии (бэкапы) уже скомпрометированной системы. Таким образом, даже если жертва и заметила бы подозрительную активность и приняла меры, то «откат» системы из бэкапа позволил бы взломщику вернуть себе контроль над ранее захваченной системой.

Вероятная личность преступника

Одной из зацепок в деле деанонимизации вероятного злоумышленника для Group-IB стал его достаточно редкий псевдоним. Специалистам компании удалось найти адрес электронной почты, содержащий последовательность символов “fxmsp”, выданный одним из крупнейших российских email-сервисов.

Как выяснилось дальше, этот адрес использовался при регистрации на ряде «подпольных» форумов, которыми пользовался хакер. Кроме того, этот адрес использовался при регистрации одного домена в зоне .info на некоего “andej a turchin”.

Также специалисты Group-IB обнаружили, что к данному почтовому адресу привязана учетная запись в социальной сети «Мой мир», владелец которой даже прикрепил, предположительно собственную, фотографию. В социальной сети «Вконтакте» была найдена страница с именем пользователя «Андрей Турчин» и аналогичным фото.

В отчете Group-IB приводится ряд других доказательств в пользу того, что именно Андрей Турчин из Алматы (Казахстан) является злоумышленником, который скрывается под никнеймом Fxmsp.

Материалы по установлению предположительной личности Fxmsp переданы Group-IB в международные правоохранительные органы, сообщили в компании. Специалисты не исключают, что хакер продолжает свою деятельность по взлому сетей компаний и все еще представляет угрозу.