Interested Article - Fxmsp
- 2020-03-27
- 1
Fxmsp — русскоязычный хакер, действовавший в 2017—2019 годах и продававший доступы к различным сетям как крупных фирм, так и небольших организаций.
За это время ему удалось получить нелегальный доступ к корпоративным сетям компаний в более чем 44 странах. Он выставил на продажу доступы к корпоративным сетям как минимум 135 компаний на сумму, превышающую $1,5 млн .
В 2020 году была публично раскрыла личность Fxmsp. Им оказался гражданин Казахстана Андрей Турчин. В этом же году США опубликовали в открытом доступе обвинительное заключение 2018 года на имя Турчина .
Компания утверждает, что деятельность, приписываемую Fxmsp, осуществляла группа пользователей со сложной организационной структурой. Одной из подгрупп была «GPTitan», которая специализировалась на правительственных и финансовых сетях .
История
2016
В 2016 году пользователь с ником Fxmsp зарегистрировался на русскоязычном андеграундном форуме . Спустя несколько месяцев он написал свой первый пост о поиске программы-майнера криптовалют с функциями самораспространения и персистентности. Вскоре Fxmsp начал тестировать банковский троян Atmos, который на тот момент распространялся в паблике. В конце ноября того же года Fxmsp опубликовал пост, в котором искал вредоносное ПО для заражения сетей, как и ранее — с функциями самораспространения и персистентности. После чего долгое время не появлялся на форуме .
2017
В мае 2017 года Fxmsp снова активизировался на форуме . Он сообщил, что получил частичный доступ к крупной сети, которая разделена на три административные зоны, а также RDP доступ на часть устройств. Его основной целью было получение доступа к учётным записям администраторов домена. В ответ ему порекомендовали обратиться на другой форум. Уже в тот же день Fxmsp сообщил о том, что его проблема решена при помощи Windows Password Recovery и что с помощью последней версии этой программы ему удалось расшифровать пароли от 90 % аккаунтов.
Спустя месяц злоумышленник начал работать с программой для проведения пентестов Metasploit PRO. Fxmsp оставил сообщение, что ищет людей, которые готовы помочь ему с этим ПО или присоединиться к его команде на постоянной основе. Также Fxmsp зарегистрировался на других хакерских площадках .
На одном из форумов он рассказал, что у него есть доступ к сети из 1,5 млн устройств. При этом хакер не собирался продавать его или использовать чувствительную информацию в сети для дальнейшей перепродажи. Его целью был майнинг криптовалюты Monero , для чего он планировал использовать серверные мощности жертвы.
1 октября 2017 года Fxmsp опубликовал свое первое сообщение о продаже доступа к корпоративным сетям без какой-либо конкретики. Через несколько дней он уточнил жертву, которой оказался коммерческий банк в Нигерии .
10 октября 2017 года хакер выставил на продажу доступ к группе отелей премиального класса с отделениями в Доминикане, Европе, Кубе, Панаме, США и в других странах. Также он прикрепил карту отелей по странам. Fxmsp утверждал, что этот лот даёт возможность отслеживать посетителей номеров отеля, доступ к серверам службы безопасности, Active Directory, базам данных, а также панели управления кредитными картами. Злоумышленник предлагал доступы к 4-10 контроллерам домена, 600 серверам и 1000 рабочих станций. Управление контроллерами домена и Active Directory он предоставлял с правами администратора.
Также в октябре он продавал данные доступа к серверам IT-компании SolarWinds .
12 декабря 2017 года хакер продавал данные африканского банка с капитализацией в $20 млрд. Лот содержал полную информацию об учётных записях, паролях, базах данных, аккаунтах, банковских картах, депозитных счетах и бухгалтерских документах.
30 декабря 2017 года он опубликовал сообщение о продаже доступа через Radmin к банкомату и базе данных таможни в двух разных городах России. В результате его заблокировали на форуме, где он вёл продажи, за нарушение правила с работой по РУ-зоне. Он удалил все предложения, связанные с Россией, после чего блокировка была снята .
2018
С 2018 года Fxmsp объединился с пользователем под ником Lampeduza, которому передал функции продвижения и продажи доступов . Lampeduza опубликовал сообщение о поиске работы на форуме Omerta 1 января. В том же месяце на этом и других форумах появились сообщения от Lampeduza о продаже доступов к тем же компаниям, которые ранее уже предлагал Fxmsp, а также к другим фирмам.
Другие ники Lampeduza на различных площадках: Antony Moricone, BigPetya, Fivelife, Nikolay, tor.ter, andropov, Gromyko .
3 января 2018 года Fxmsp разместил объявление о продаже доступа к сети компании, которая предоставляет услуги по строительству и управлению отелями премиум-класса в США, прикрепив карту расположения скомпрометированных отелей, как он уже делал ранее.
17 января 2018 года в обсуждении на форуме Fxmsp назвал точное число своих покупателей — на тот момент их было 18 человек .
6 февраля 2018 года хакер заявил о доступе к сети индийской компании и её подразделениям. Он утверждал, что эта организация имела прямой доступ к своим клиентам и серверам их партнеров, куда входили несколько банков и СМИ. Он привёл в пример 8 различных организаций, как минимум 2 из них- финансовые.
5 апреля 2018 года Fxmsp опубликовала информацию о доступе к сети гостиничной сети, расположенной в Европе, Африке и Южной Америке .
В апреле 2018 злоумышленник приостановил свою активность на форумах.
В конце июня 2018 года Lampeduza опубликовал сообщение, что ищет работу. Однако в июле он возобновит сотрудничество с Fxmsp.
16 июля 2018 года на одном из андеграундных форумов появилось сообщение о продаже доступа к корпоративной сети многонационального оператора розничной франшизы из ОАЭ. В феврале Fxmsp уже размещал информацию об этом на другом форуме. Сообщение опубликовал пользователь Fivelife, у которого в контактных данных был указан Jabber-аккаунт, используемый Lampeduza. Также Lampeduza возобновил продажи на форуме Omerta под псевдонимом Antony Moricone.
С начала октября 2017 года по 31 июля 2018 года, Fxmsp выставил на продажу доступ к 51 компании из 21 страны. Цены указывались в 30 % случаев. Известная сумма превысила $268 тысяч.
С конца августа 2018 Lampeduza прекращает всю предыдущую активность на форумах и фокусируется на продаже доступов к корпоративным сетям. Ранее он занимался продажей дампов банковских карт (данных, хранящихся на магнитной ленте банковской карты), логинов и паролей от аккаунтов Facebook , а также интересовался взломом аккаунтов Snapchat .
26 сентября 2018 года Lampeduza опубликовал пост о том, продажу каких услуг он осуществляет, подробно описывая преимущества доступа в скомпрометированные сети.
В своем сообщении Lampeduza отмечает, что потерянный доступ может быть восстановлен за счет оставленных в сети бэкдоров — инструментарий, в том числе используемый Fxmsp.
За июль-октябрь 2018 года на форуме были опубликованы доступы к 62 новым компаниям. Суммарная стоимость всех продаваемых доступов к этому моменту составила более $1,1 млн .
В конце октября 2018 года пользователь g0rx создал топик на одном из форумов, где рассказал, что Fxmsp и Lampeduza одновременно продают доступ к сети разным людям, что запрещено правилами. Он сообщил, что его знакомый купил у хакера доступ к взломанной корпоративной сети компании в ОАЭ , однако позднее сам g0rx также получил предложение купить такой доступ. Более того, в скопрометированной сети были обнаружены майнеры криптовалюты. В ответ Lampeduza объявил, что больше не сотрудничает с Fxmsp, но администрация форума заблокировала обоих. Группа заморозила активность на всех остальных форумах .
Сообщники возобновляют работу на форумах в марте 2019. Сразу на нескольких андеграундных площадках появились новые сообщения о продаже доступа .
В апреле 2019 года, компания AdvIntel сообщила, что Fxmsp удалось скомпрометировать сети трех крупных антивирусных вендоров. По словам злоумышленника, это была целенаправленная акция , и он смог также выгрузить из сети исходные коды антивирусных агентов, модули аналитики и плагины безопасности для браузеров. Цена исходного кода и доступа в сеть составляла $300 000. По словам компании, злоумышленнику удалось получить доступ к компаниям Symantec , Trend Micro и McAfee . Symantec и McAfee опровергли факт доступа .
Trend Micro сообщили, что в их сеть действительно кто-то проник, однако признаков утечки данных они не обнаружили. Однако, исследователи AdvIntel заявили, что могут предоставить доказательства компрометации файлов .
Также Fxmsp заявил, что разработал программу наподобие ботнета, которая может заражать конкретные цели и удалять конфиденциальные учетные данные. Стоимость составляла $25 тысяч за полную версию и $5 тысяч за упрощённую .
Также в апреле 2019 года Lampeduza заявил, что никак не связан с утечкой и больше не работает с Fxmsp . При этом он продолжил продавать доступы в приватных переписках .
19 сентября 2019 года Lampeduza снова вернулся в публичное пространство, опубликовав на форуме сообщение, что продаёт доступ к корпоративной сети немецкой компании .
За все время активности в 2019 году в публичное пространство было выставлено только 22 доступа к корпоративным сетям различных компаний. Суммарная стоимость предлагаемых услуг на тот момент превысила $124 тысячи .
В декабре 2019 года Lampeduza и Fxmsp прекратили сотрудничество. Используя свой псевдоним Antony Moricone, Lampeduza опубликовал на форуме Omerta объявление о поиске работы менеджера по андеграунд-продажам, как когда-то публиковал перед началом работы с Fxmsp. Lampeduza подтвердил пользователям форума, что Fxmsp закончил свою работу 17 декабря 2019 года .
Раскрытие личности и обвинения
В декабре 2018 года Министерство Юстиции США зарегистрировало обвинительное заключение относительно Fxmsp, определив его личность. Им оказался казахстанец Андрей Турчин. Однако данная информация осталась закрытой .
В мае 2019 года AdvIntel сообщили, что, согласно данным телеграмм-канала «ShadowRunTeam», Fxmsp является жителем Москвы по имени Андрей, который начал заниматься киберпреступной деятельностью в середине 2000 года и специализировался на социальной инженерии .
В этом же году писал, что Fxmsp использует личность Андрея Турчина для своей деятельности в сети и что это личность реального человека .
Спустя две недели в США опубликовали в открытом доступе обвинительное заключение относительно Андрея Турчина . Его обвинили в сговоре с целью совершения компьютерного взлома, кибермошенничестве и хакерстве . В расследовании также участвовали власти Казахстана , ФБР , Национальное агентство по борьбе с преступностью Великобритании и частные охранные компании .
Инструменты и тактика
Fxmsp не использовал фишинговые рассылки для проникновения в сеть и не изучал жертву перед атакой, что исключает таргетированный характер его действий и указывает на массовость.
Для доступа к сетям хакер использовал несколько этапов :
- Сканирование определенного диапазона IP-адресов с помощью Masscan и других сканеров для обнаружения открытых RDP (Remote Desktop Protocol) портов, а именно 3389.
- Брутфорс (поиск верного пароля с помощью подбора).
- Закрепление в сети, отключение антивирусов и файервола , захват доступа к контроллеру, установка бэкдора . Fxmsp отдельно отмечал, что при установке бэкдоров он назначал очень большой интервал соединений с CnC — раз в 15 дней.
- Извлечение дампов всех учетных записей и их расшифровка. Известно, что для дешифровки он использовал, в том числе, Windows Password Recovery.
- Инфицирование бэкапов . Fxmsp ставил бэкдоры с большим интервалом и на бэкапы. Таким образом, даже если жертва заметит подозрительную активность в системе, то произойдет смена паролей и откат к бэкапу, который уже скомпрометирован.
Примечания
- . РИА Новости (20200623T1737). Дата обращения: 15 октября 2021. 15 октября 2021 года.
- ↑ . Эксперт . Дата обращения: 15 октября 2021. 19 октября 2021 года.
- Alexander Antipov. . www.securitylab.ru (23 июня 2020). Дата обращения: 15 октября 2021. 15 октября 2021 года.
- ↑ (англ.) . MIT Technology Review . Дата обращения: 15 октября 2021. 15 октября 2021 года.
- ↑ (англ.) . PCMAG . Дата обращения: 15 октября 2021. 15 октября 2021 года.
- ↑ Mathew J. Schwartz• June 29, 2020. (англ.) . www.bankinfosecurity.com . Дата обращения: 15 октября 2021. 15 октября 2021 года.
- ↑ lenta.ru . Дата обращения: 15 октября 2021. 15 октября 2021 года.
- ↑ Анатолий Белоус, Виталий Солодуха. . — Litres, 2021-03-30. — 483 с. — ISBN 978-5-04-337967-2 . 15 октября 2021 года.
- . iz.ru . Дата обращения: 15 октября 2021. 19 октября 2021 года.
- ↑ K-News. . K-News (21 декабря 2020). Дата обращения: 15 октября 2021. 15 октября 2021 года.
- ↑ (амер. англ.) . BleepingComputer . Дата обращения: 15 октября 2021. 15 октября 2021 года.
- ↑ (амер. англ.) . BleepingComputer . Дата обращения: 15 октября 2021. 15 октября 2021 года.
- ↑ AdvIntel. (англ.) . AdvIntel (9 мая 2019). Дата обращения: 15 октября 2021. 15 октября 2021 года.
- (амер. англ.) . BleepingComputer . Дата обращения: 15 октября 2021. 15 октября 2021 года.
- . Anti-Malware.ru (13 мая 2019). Дата обращения: 15 октября 2021. 15 октября 2021 года.
- . www.nur.kz (10 июля 2020). Дата обращения: 15 октября 2021. 19 октября 2021 года.
- (англ.) . www.justice.gov (7 июля 2020). Дата обращения: 15 октября 2021. 15 октября 2021 года.
- . BBC News Mundo . из оригинала 15 октября 2021 . Дата обращения: 15 октября 2021 .
- 2020-03-27
- 1