Наибольшую активность продавец стал проявлять с осени 2018 г. Эксперты полагают, что Achilles - иранец, знающий английский язык. Уже высказываются предположения, что он может быть связан с группировкой Iridium, хотя прямых доказательств этому пока не нашлось.
Продажи доступа к инфраструктурам антивирусных компаний Symantec, McAfee и Trend Micro ранее уже случались, этим занималась группировка Fxmsp. Но, по-видимому, прямой связи между Fxmsp и Achilles нет.
Хакер продаёт доступ в инфраструктуру антивирусных компаний и ЮНИСЕФЭксперты ИБ-компании Advanced Intelligence указывают, что у Achilles в киберподполье очень неплохая репутация именно как у продавца. Дабы упрочить её, Achilles настаивает, чтобы оплата его «товаров» производилась через встроенный депозитарный сервис хакерского форума.
Доступ в сети Symantec и Hash Inc., по сведениям от самого хакера, производится через RDP-соединения. В Symantec указывают, что никаких признаков вторжения в их сети не наблюдается и что причин для беспокойства нет.
Доказательства только косвенныеЭксперты Advanced Intelligence отмечают, что никаких доказательств тому, что у хакера действительно есть доступ в сети Symantec или Comodo, он так и не представил.
Что касается ЮНИСЕФ, то Achilles представил скриншоты с документацией, якобы принадлежащей этой организации. На одном из скриншотов фигурируют два сетевых накопителя, один из которых содержит чуть менее 4 ТБ данных.
Achilles ведёт очень активную деятельность на нескольких хакерских форумах, продавая самые разные типы данных. На l33t, например, он рекламировал доступ к DNS-серверам нескольких правительственных доменов Великобритании, а также продавал RDP-доступ к сетям британских коммерческих фирм и 600 ГБ данных, украденных оттуда. Ранее он предлагал покупателям данные и реквизиты доступа к компьютерам сотрудников GoDaddy, DHL, Citrix, BBC и Facebook.
В большинстве случаев Achilles старается избегать использования вредоносного ПО и «работать руками»; иногда, впрочем, он использует брутфорс-атаки для получения паролей к внешним порталам и удалённым службам атакуемых компаний. В случае успеха хакер пытается повысить свои привилегии в системе и атаковать серверы Active Directory, которые отвечают за авторизацию компьютеров в сетях на базе Windows.
«Доступ в чужие сети - ходовой товар на хакерских форумах, - говорит Дмитрий Залманов, эксперт по информационной безопасности компании SEC Consult Services. - Если у Achilles действительно хорошая репутация как у продавца таких данных, высока вероятность, что Symantec, COMODO и, особенно, ЮНИСЕФ есть, о чём беспокоиться. Репутация среди хакеров дорогого стоит, а потерять её куда проще, чем наработать и, тем более, восстановить».