Fxmsp

19-03-2022, 18:00

Fxmsp — русскоязычный хакер, действовавший в 2017—2019 годах и продававший доступы к различным сетям как крупных фирм, так и небольших организаций.

За это время ему удалось получить нелегальный доступ к корпоративным сетям компаний в более чем 44 странах. Он выставил на продажу доступы к корпоративным сетям как минимум 135 компаний на сумму, превышающую $1,5 млн.

В 2020 году Group-IB публично раскрыла личность Fxmsp в своём отчёте. Им оказался гражданин Казахстана Андрей Турчин. В этом же году США опубликовали в открытом доступе обвинительное заключение 2018 года на имя Турчина.

Компания AdvIntel утверждает, что деятельность, приписываемую Fxmsp, осуществляла группа пользователей со сложной организационной структурой. Одной из подгрупп была «GPTitan», которая специализировалась на правительственных и финансовых сетях.

История

2016

В 2016 году пользователь с ником Fxmsp зарегистрировался на русскоязычном андеграундном форуме. Спустя несколько месяцев он написал свой первый пост о поиске программы-майнера криптовалют с функциями самораспространения и персистентности. Вскоре Fxmsp начал тестировать банковский троян Atmos, который на тот момент распространялся в паблике. В конце ноября того же года Fxmsp опубликовал пост, в котором искал вредоносное ПО для заражения сетей, как и ранее — с функциями самораспространения и персистентности. После чего долгое время не появлялся на форуме.

2017

В мае 2017 года Fxmsp снова активизировался на форуме. Он сообщил, что получил частичный доступ к крупной сети, которая разделена на три административные зоны, а также RDP доступ на часть устройств. Его основной целью было получение доступа к учётным записям администраторов домена. В ответ ему порекомендовали обратиться на другой форум. Уже в тот же день Fxmsp сообщил о том, что его проблема решена при помощи Windows Password Recovery и что с помощью последней версии этой программы ему удалось расшифровать пароли от 90 % аккаунтов.

Спустя месяц злоумышленник начал работать с программой для проведения пентестов Metasploit PRO. Fxmsp оставил сообщение, что ищет людей, которые готовы помочь ему с этим ПО или присоединиться к его команде на постоянной основе. Также Fxmsp зарегистрировался на других хакерских площадках.

На одном из форумов он рассказал, что у него есть доступ к сети из 1,5 млн устройств. При этом хакер не собирался продавать его или использовать чувствительную информацию в сети для дальнейшей перепродажи. Его целью был майнинг криптовалюты Monero, для чего он планировал использовать серверные мощности жертвы.

1 октября 2017 года Fxmsp опубликовал свое первое сообщение о продаже доступа к корпоративным сетям без какой-либо конкретики. Через несколько дней он уточнил жертву, которой оказался коммерческий банк в Нигерии.

10 октября 2017 года хакер выставил на продажу доступ к группе отелей премиального класса с отделениями в Доминикане, Европе, Кубе, Панаме, США и в других странах. Также он прикрепил карту отелей по странам. Fxmsp утверждал, что этот лот даёт возможность отслеживать посетителей номеров отеля, доступ к серверам службы безопасности, Active Directory, базам данных, а также панели управления кредитными картами. Злоумышленник предлагал доступы к 4-10 контроллерам домена, 600 серверам и 1000 рабочих станций. Управление контроллерами домена и Active Directory он предоставлял с правами администратора.

Также в октябре он продавал данные доступа к серверам IT-компании SolarWinds.

12 декабря 2017 года хакер продавал данные африканского банка с капитализацией в $20 млрд. Лот содержал полную информацию об учётных записях, паролях, базах данных, аккаунтах, банковских картах, депозитных счетах и бухгалтерских документах.

30 декабря 2017 года он опубликовал сообщение о продаже доступа через Radmin к банкомату и базе данных таможни в двух разных городах России. В результате его заблокировали на форуме, где он вёл продажи, за нарушение правила с работой по РУ-зоне. Он удалил все предложения, связанные с Россией, после чего блокировка была снята.

2018

С 2018 года Fxmsp объединился с пользователем под ником Lampeduza, которому передал функции продвижения и продажи доступов. Lampeduza опубликовал сообщение о поиске работы на форуме Omerta 1 января. В том же месяце на этом и других форумах появились сообщения от Lampeduza о продаже доступов к тем же компаниям, которые ранее уже предлагал Fxmsp, а также к другим фирмам.

Другие ники Lampeduza на различных площадках: Antony Moricone, BigPetya, Fivelife, Nikolay, tor.ter, andropov, Gromyko.

3 января 2018 года Fxmsp разместил объявление о продаже доступа к сети компании, которая предоставляет услуги по строительству и управлению отелями премиум-класса в США, прикрепив карту расположения скомпрометированных отелей, как он уже делал ранее.

17 января 2018 года в обсуждении на форуме Fxmsp назвал точное число своих покупателей — на тот момент их было 18 человек.

6 февраля 2018 года хакер заявил о доступе к сети индийской компании и её подразделениям. Он утверждал, что эта организация имела прямой доступ к своим клиентам и серверам их партнеров, куда входили несколько банков и СМИ. Он привёл в пример 8 различных организаций, как минимум 2 из них- финансовые.

5 апреля 2018 года Fxmsp опубликовала информацию о доступе к сети гостиничной сети, расположенной в Европе, Африке и Южной Америке.

В апреле 2018 злоумышленник приостановил свою активность на форумах.

В конце июня 2018 года Lampeduza опубликовал сообщение, что ищет работу. Однако в июле он возобновит сотрудничество с Fxmsp.

16 июля 2018 года на одном из андеграундных форумов появилось сообщение о продаже доступа к корпоративной сети многонационального оператора розничной франшизы из ОАЭ. В феврале Fxmsp уже размещал информацию об этом на другом форуме. Сообщение опубликовал пользователь Fivelife, у которого в контактных данных был указан Jabber-аккаунт, используемый Lampeduza. Также Lampeduza возобновил продажи на форуме Omerta под псевдонимом Antony Moricone.

С начала октября 2017 года по 31 июля 2018 года, Fxmsp выставил на продажу доступ к 51 компании из 21 страны. Цены указывались в 30 % случаев. Известная сумма превысила $268 тысяч.

С конца августа 2018 Lampeduza прекращает всю предыдущую активность на форумах и фокусируется на продаже доступов к корпоративным сетям. Ранее он занимался продажей дампов банковских карт (данных, хранящихся на магнитной ленте банковской карты), логинов и паролей от аккаунтов Facebook, а также интересовался взломом аккаунтов Snapchat.

26 сентября 2018 года Lampeduza опубликовал пост о том, продажу каких услуг он осуществляет, подробно описывая преимущества доступа в скомпрометированные сети.

В своем сообщении Lampeduza отмечает, что потерянный доступ может быть восстановлен за счет оставленных в сети бэкдоров — инструментарий, в том числе используемый Fxmsp.

За июль-октябрь 2018 года на форуме были опубликованы доступы к 62 новым компаниям. Суммарная стоимость всех продаваемых доступов к этому моменту составила более $1,1 млн.

В конце октября 2018 года пользователь g0rx создал топик на одном из форумов, где рассказал, что Fxmsp и Lampeduza одновременно продают доступ к сети разным людям, что запрещено правилами. Он сообщил, что его знакомый купил у хакера доступ к взломанной корпоративной сети компании в ОАЭ, однако позднее сам g0rx также получил предложение купить такой доступ. Более того, в скопрометированной сети были обнаружены майнеры криптовалюты. В ответ Lampeduza объявил, что больше не сотрудничает с Fxmsp, но администрация форума заблокировала обоих. Группа заморозила активность на всех остальных форумах.

Сообщники возобновляют работу на форумах в марте 2019. Сразу на нескольких андеграундных площадках появились новые сообщения о продаже доступа.

В апреле 2019 года, компания AdvIntel сообщила, что Fxmsp удалось скомпрометировать сети трех крупных антивирусных вендоров. По словам злоумышленника, это была целенаправленная акция, и он смог также выгрузить из сети исходные коды антивирусных агентов, модули аналитики и плагины безопасности для браузеров. Цена исходного кода и доступа в сеть составляла $300 000. По словам компании, злоумышленнику удалось получить доступ к компаниям Symantec, Trend Micro и McAfee. Symantec и McAfee опровергли факт доступа.

Trend Micro сообщили, что в их сеть действительно кто-то проник, однако признаков утечки данных они не обнаружили. Однако, исследователи AdvIntel заявили, что могут предоставить доказательства компрометации файлов.

Также Fxmsp заявил, что разработал программу наподобие ботнета, которая может заражать конкретные цели и удалять конфиденциальные учетные данные. Стоимость составляла $25 тысяч за полную версию и $5 тысяч за упрощённую.

Также в апреле 2019 года Lampeduza заявил, что никак не связан с утечкой и больше не работает с Fxmsp. При этом он продолжил продавать доступы в приватных переписках.

19 сентября 2019 года Lampeduza снова вернулся в публичное пространство, опубликовав на форуме сообщение, что продаёт доступ к корпоративной сети немецкой компании.

За все время активности в 2019 году в публичное пространство было выставлено только 22 доступа к корпоративным сетям различных компаний. Суммарная стоимость предлагаемых услуг на тот момент превысила $124 тысячи.

В декабре 2019 года Lampeduza и Fxmsp прекратили сотрудничество. Используя свой псевдоним Antony Moricone, Lampeduza опубликовал на форуме Omerta объявление о поиске работы менеджера по андеграунд-продажам, как когда-то публиковал перед началом работы с Fxmsp. Lampeduza подтвердил пользователям форума, что Fxmsp закончил свою работу 17 декабря 2019 года.

Раскрытие личности и обвинения

В декабре 2018 года Министерство Юстиции США зарегистрировало обвинительное заключение относительно Fxmsp, определив его личность. Им оказался казахстанец Андрей Турчин. Однако данная информация осталась закрытой.

В мае 2019 года AdvIntel сообщили, что, согласно данным телеграмм-канала «ShadowRunTeam», Fxmsp является жителем Москвы по имени Андрей, который начал заниматься киберпреступной деятельностью в середине 2000 года и специализировался на социальной инженерии.

В этом же году Bleeping Computer писал, что Fxmsp использует личность Андрея Турчина для своей деятельности в сети и что это личность реального человека.

В 2020 году компания Group-IB выпустила подробный отчёт о хакере, где показала, что за Fxmsp стоит казахстанец Андрей Турчин. Отчёт передали международным правоохранительным органам.

Спустя две недели в США опубликовали в открытом доступе обвинительное заключение относительно Андрея Турчина. Его обвинили в сговоре с целью совершения компьютерного взлома, кибермошенничестве и хакерстве. В расследовании также участвовали власти Казахстана, ФБР, Национальное агентство по борьбе с преступностью Великобритании и частные охранные компании.

Инструменты и тактика

В 2020 году Group-IB выпустила подробный отчёт о хакере Fxmsp, где описывались его деятельность в даркнете, используемые им инструменты и тактика.

Так, Fxmsp не использовал фишинговые рассылки для проникновения в сеть и не изучал жертву перед атакой, что исключает таргетированный характер его действий и указывает на массовость.

Для доступа к сетям хакер использовал несколько этапов:

  • Сканирование определенного диапазона IP-адресов с помощью Masscan и других сканеров для обнаружения открытых RDP (Remote Desktop Protocol) портов, а именно 3389.
  • Брутфорс (поиск верного пароля с помощью подбора).
  • Закрепление в сети, отключение антивирусов и файервола, захват доступа к контроллеру, установка бэкдора. Fxmsp отдельно отмечал, что при установке бэкдоров он назначал очень большой интервал соединений с CnC — раз в 15 дней.
  • Извлечение дампов всех учетных записей и их расшифровка. Известно, что для дешифровки он использовал, в том числе, Windows Password Recovery.
  • Инфицирование бэкапов. Fxmsp ставил бэкдоры с большим интервалом и на бэкапы. Таким образом, даже если жертва заметит подозрительную активность в системе, то произойдет смена паролей и откат к бэкапу, который уже скомпрометирован.

  • Caspian Energy (журнал)
  • Тедис Украина
  • Hot-WiFi
  • Хоров, Евгений Михайлович
  • Стабилизаторы Энерготех – гарантировано выгодное приобретение

  •  

    • Яндекс.Метрика
    • Индекс цитирования