• ГлавнаяНовостиНовостиНовости, 202006Новости, 202006 → Раскрыта личность загадочного русскоязычного хакера, заработавшего 100 миллионов на доступе к корпоративным сетям

    Раскрыта личность загадочного русскоязычного хакера, заработавшего 100 миллионов на доступе к корпоративным сетям

    Эксперты российской компании Group-IB, специализирующейся на предотвращении кибератак, раскрыли предположительную личность одного из самых активных торговцев доступом к корпоративным сетям компаний по всему миру, действовавшего через «подпольный» интернет или даркнет.

    КиТ :: Будь в СЕТИ! KiT - Keep-inTouch :: RSS-лента

  • Anketka - Мнения, за которые платят деньги.

    LovePlanet - Соцсеть знакомств для веб-мастеров.

    Biglion - Сила коллективных покупок.

    admitad - Сайт партнерских программ и рекламы.

    Miralinks - Рекламная кампания размещения статей для продвижения социальных сетей и сайтов.

    Liex - Биржа статей и ссылок в социальных сетях.

    GoGetLinks - Система размещения платных обзоров со ссылками в социальных сетях и сайтах.

    GetGoodLinks - Ссылки в социальных сетях и сайтах для размещения навсегда.

    Sape - Деньги на привлечении вебмастеров и оптимизаторов.

    Skrill - Сервис перевода денег.

    CPAzilla - Программа заработка на сайтах знакомств.

    1PS - Регистрация сайта в каталогах.

    Link - Реклама на сайтах.

P.c{font-size:75%;text-align:right;}img{border:0;padding:1px;}table{display:table;border-spacing:10px;}td{display:table-cell;padding:10px;vertical-align:top;}input,textarea{border-radius:3px;border:1px solid grey;margin:2px;}/*Обратная связь и подписка - кнопки*/ .buttons{background:#e0ffff;color:#dc143c;border:1.5px solid black;}

Согласно аналитическому отчету ИБ-компании, русскоязычный хакер под псевдонимом Fxmsp менее чем за три года своей деятельности скомпрометировал около 135 компании в 44 странах мира. По минимальным оценкам прибыль вероятного киберпреступника за период его активности могла составлять $1,5 млн или около 100 млн руб. Причем эта сумма не учитывает «приватные» и повторные продажи, а также порядка 20% лотов по компаниям, доступ к которым предлагался без указания цены.

Топ-3 жертв хакера составляют предприятия легкой промышленности, провайдеры ИТ-сервисов и ритейл. В послужном списке Fxmsp также присутствуют банки, ТЭК, телекоммуникационные операторы. Среди атакованных злоумышленником организаций было как минимум четыре участника рейтинга “Global 500 | Fortune” за 2019 г.

Хронология деятельности хакера

По данным экспертов, Fxmsp начал свою деятельность в 2017 г., а уже ко второй половине года стал самым заметным игроком и абсолютным лидером по числу лотов в нише продаж доступа к корпоративным сетям.

Основная активность хакера пришлась на 2018 г. В период с июля по октябрь, согласно отчету Group-IB, в партнерстве с сообщником под ником Lampeduza, который выступал менеджером по продажам, заработал более $1,1 млн.

Географическое распределение жертв Fxmsp

В октябре 2019 г. киберпреступники взяли «тайм-аут» после блокировки их учетных записей на одном из андеграундных форумов за попытку продать доступ к сети одного и то же предприятия нескольким покупателям. Fxmsp и Lameduza ушли в «приват» до середины марта 2019 г., после чего возобновили свою деятельность, используя другие форумы в качестве торговой площадки.

Никнейм Fxmsp стал широко известен в мае 2019 г. в связи с появлением в СМИ новости о получении доступа в защищенные сети трех ведущих антивирусных компаний. Хакеры тогда не раскрыли названия компаний, но опубликовали список специфических индикаторов, с помощью которых можно понять, о ком идет речь. Из скриншотов переписки злоумышленников, опубликованных экспертами по безопасности компании Advintel стало ясно, что жертвами стали американские Symantec, McAfee и Trend Micro. Последняя признала факт несанкционированного доступа к своей инфраструктуре, отметив, однако, что ничего существенного – ни данных пользователей, ни исходного кода продуктов – похищено не было.

Распределение жерты Fxmsp по индустриям

Сотрудничество Fxmsp и Lampeduza затем продолжалось до декабря 2019 г.

По данным исследования Group-IB, с начала 2020 г. порядка более 40 киберпреступников промышляют «ремеслом» Fxmsp на андеграундных форумах. Всего за это время было выставлено более чем 150 лотов по продаже доступов в корпоративные сети компаний различных отраслей.

Техника получения доступа

Согласно отчету Group-IB, Fxmsp не применял методику фишинговых рассылок для проникновения в корпоративные сети. Вместо этого хакер занимался сканированием диапазонов IP-адресов в поисках открытого стандартного порта 3389, который используется для получения удаленного доступа к компьютерам с ОС Windows по протоколу RPD (Remode Desktop Protocol).

Затем с помощью специального ПО злоумышленник получал список пользователей атакованной машины, после чего осуществлял подбор пароля методом перебора.

После получения доступа к целевой машине хакер отключал антивирусное ПО и файерволл, а также создавал дополнительные учетные записи. Для закрепления в системе Fxmsp оставлял бэкдор с таймером. Примечательно, что соединение бэкдора с управляющим сервером происходило с огромным интервалом – раз в 15 дней, что затрудняло его обнаружение анализаторами трафика.

Бэкдоры также устанавливались и на серверы, содержащие резервные копии (бэкапы) уже скомпрометированной системы. Таким образом, даже если жертва и заметила бы подозрительную активность и приняла меры, то «откат» системы из бэкапа позволил бы взломщику вернуть себе контроль над ранее захваченной системой.

Вероятная личность преступника

Одной из зацепок в деле деанонимизации вероятного злоумышленника для Group-IB стал его достаточно редкий псевдоним. Специалистам компании удалось найти адрес электронной почты, содержащий последовательность символов “fxmsp”, выданный одним из крупнейших российских email-сервисов.

Как выяснилось дальше, этот адрес использовался при регистрации на ряде «подпольных» форумов, которыми пользовался хакер. Кроме того, этот адрес использовался при регистрации одного домена в зоне .info на некоего “andej a turchin”.

Также специалисты Group-IB обнаружили, что к данному почтовому адресу привязана учетная запись в социальной сети «Мой мир», владелец которой даже прикрепил, предположительно собственную, фотографию. В социальной сети «Вконтакте» была найдена страница с именем пользователя «Андрей Турчин» и аналогичным фото.

В отчете Group-IB приводится ряд других доказательств в пользу того, что именно Андрей Турчин из Алматы (Казахстан) является злоумышленником, который скрывается под никнеймом Fxmsp.

Материалы по установлению предположительной личности Fxmsp переданы Group-IB в международные правоохранительные органы, сообщили в компании. Специалисты не исключают, что хакер продолжает свою деятельность по взлому сетей компаний и все еще представляет угрозу.

/*Спойлер/Accordion - для рубрик*/.accordion [type=checkbox]{display:none;}.accordion ul{list-style:none;}.accordion label{display:block;cursor:pointer;line-height:25px;background:#d95b43;border-radius:5px 10px 0 0;border:1px solid #542437;}.accordion label:hover,.accordion [type=checkbox]:checked ~ label{background:#c02942;color:#fff;}.accordion .rubcontent{height:0;transition:all .1s ease .1s;overflow:hidden;}.accordion [type=checkbox]:checked ~ .rubcontent{height:20%;border:1px solid #542437;padding:1px;}.rubcontent [type=email], .rubcontent [type=submit]{display:block;margin:0 auto;}@media (min-width:801px){/*Рубрики справа*/ .advert{font-size:85%;position:relative;margin-left:83%;margin-right:10px;z-index:5;}/*Мобильное меню - скрыть*/ #mob_menu{display:none;}/*Новости - анонс*/ #phablet td{display:block;}}
ГлавнаяНовостиНовостиНовости, 202006Новости, 202006 → Раскрыта личность загадочного русскоязычного хакера, заработавшего 100 миллионов на доступе к корпоративным сетям

Телевизионщики просят у властей зарегулировать видео в Рунете по образцу ТВ

Работу контентных интернет-платформ следует законодательно регулировать, а требования к ним в отношении правил размещения рекламы, структуры владения, возрастной квалификации приблизить к тем, которые действуют для вещателей. Такое предложение содерж...

Дочерняя компания Сбербанка займется автомобилями-беспилотниками

По планам SberAutoTech, первые беспилотные автомобили должны выехать на дороги общего пользования уже в конце 2020-го — начале 2021 года....

Доля отечественного ПО в закупках госорганов должна прирасти до 70%

Доля российского софта в стоимости закупок по итогам 2020 г. должна составить не менее 70% для госорганов и не менее 50% для госкорпораций и компаний с госучастием. Такие данные приводит «Коммерсант» со ссылкой на проект плана Правительства по достиж...

Сбербанк использует безработных в качестве разметчиков данных

Сбербанк предоставит безработным жителям семи регионов Северо-Кавказского федерального округа возможность зарабатывать на платформе разметки данных TagMe....

В Китае запретили популярный детский язык программирования, потому что он учит плохому

В Китае заблокирован веб-сайт американского образовательного проекта для детей Scratch. Об этом сообщил портал Techcrunch со ссылкой на данные сайта Greatfire.org, ведущего мониторинг доступности интернет-ресурсов на территории КНР....

[Популярные социальные сети][*Добавить сайт]


Группы: ВК | FB | Tw | OK

Рубрики | КАТАЛОГ | Новости | Контакты |