Несколько лет крупнейшие компании мира жили в постоянном страхе. Они боялись стать жертвами одного из опаснейших киберпреступников современности — русскоязычного хакера под ником Fxmsp. Казалось, что он может проникнуть в сеть любой компании, — а за ним и любой другой, у кого хватит денег выкупить доступ. За свою недолгую карьеру Fxmsp заработал не менее 1,5 миллиона долларов, продавая услуги в темном интернете, и скомпрометировал более сотни сетей. Недавно специалисты из компании Group-IB сумели рассекретить личность «невидимого бога сети», чтобы правоохранителям было проще его отыскать. Что успел натворить плодовитый преступник и как его удалось обнаружить — в материале «Ленты.ру».
Пользователь под ником Fxmsp впервые появился на хакерских форумах еще в сентябре 2016 года. Скорее всего, тогда он еще не обладал достаточными знаниями и опытом, необходимыми для продажи доступов к взломанным сетям, хотя ему уже было что предложить потенциальным покупателям. На этом этапе он решил майнить криптовалюту с помощью захваченных ресурсов: в ноябре он попросил помощи в поиске необходимого программного обеспечения. Но тогда получил лишь грубый ответ. Вскоре хакер вновь попытался найти нужную программу — в этот раз для заражения, но и тогда его усилия были бесплодными. До мая 2017-го Fxmsp затих, а потом вновь вернулся с несколькими вопросами в адрес «коллег».
В июне хакер забросил свой аккаунт на первом форуме, но при этом зарегистрировался на нескольких новых. Тогда он все еще планировал майнить Monero на захваченных мощностях. Но вскоре Fxmsp перепрофилировался, занявшись продажей доступа к взломанным корпоративным сетям. Первое объявление о продаже появилось в сети 1 октября 2017-го. Через несколько дней он уточняет жертву — ею оказался нигерийский банк. Делая первые шаги в незаконной деятельности, многие хакеры бывают неосторожны: они указывают в своих профилях контактные данные или оставляют иные заметные следы. Киберпреступник промахнулся, оставив для связи jabber, — благодаря этой информации его в итоге удалось вычислить.
Вскоре список лотов от Fxmsp пополняют сеть премиальных отелей по всему миру, африканский банк с многомиллиардной капитализацией и база данных российской таможни в паре городов, а также банкомат, тоже находящийся в России. Видимо, ему все-таки удалось найти покупателя, потому что «таможенный» лот был быстро снят с продажи. Однако на форуме хакера заблокировали за компрометацию российских сетей. Русскоязычные киберпреступники стараются не работать с «зоной ру», чтобы не попасть под суд. Хакеру пришлось удалить объявления, чтобы восстановиться в правах на форуме.
В январе 2018 года Fxmsp пришлось рассказать больше о своих покупателях, — по его словам, их было уже 18. Таким образом он отреагировал на недоверие коллег — те полагали, что хакер обманывает их, рассказывая о своих «подвигах» по захвату сетей. С октября 2017-го до конца июля 2018-го Fxmsp опубликовал объявления о продаже доступа к сетям 51 компании из 21 страны мира. Совокупная цена лотов превысила 268 тысяч долларов. К этому моменту взломщик решил доверить реализацию лотов личному менеджеру по продажам. Им стал пользователь Lampeduza, который также использовал на других форумах ники andropov, Gromyko, BigPetya, Nikolay, Antony Moricone и другие.
В сентябре 2018 года Lampeduza написал в одном из рекламных объявлений: «У вас будет полный доступ ко всей сети компании. Вы станете НЕВИДИМЫМ БОГОМ СЕТИ». Основная его активность пришлась на осень, как только Fxmsp уполномочил его продавать свой «продукт». За этот короткий срок хакер вышел на новый уровень: на форуме было выставлено 62 лота общей стоимостью 1,1 миллиона долларов. Однако вскоре схема чуть не развалилась: пользователь g0rx создал топик, где рассказал, что Fxmsp и Lampeduza одновременно продают доступ к сети разным людям, что запрещено правилами. По его словам, его знакомый купил у хакера доступ к взломанной корпоративной сети компании в ОАЭ, однако позднее сам g0rx также получил предложение купить такой доступ. Более того, в скопрометированной сети были обнаружены майнеры криптовалюты. В ответ Lampeduza объявил, что больше не сотрудничает с Fxmsp, но администрация хакерского форума заблокировала обоих. Предполагается, что они стали сотрудничать с узким кругом покупателей, в которых были уверены. Вернулись подельники на андеграундные площадки только в марте 2019-го.
Известно, что Fxmsp не использовал фишинговые рассылки для атак (классический способ проникновения в сеть). Исследователи считают, что он проводил не целенаправленные, а скорее массовые атаки. Его нападение состояло из нескольких этапов. Первый — сканирование диапазона IP-адресов с помощью специальной программы Masscan и других сканеров, чтобы обнаружить открытые RDP порты (3389). Обнаружив потенциальную жертву с открытыми портами, он пытался распознать данные учетных записей (например, логины, чтобы далее подбирать лишь пароли). Далее хакер проводил брутфорс, то есть поиск верного пароля с помощью подбора. Следом происходило закрепление в сети, отключение антивирусов и файервола, захват доступа к контроллеру, установка бэкдора. Fxmsp ставил бэкдоры на бэкапы: если бы вдруг его деятельность заметили, администрация сети бы сменила пароли и «откатила» систему. Хакеру было важно, чтобы и на «откатном» варианте у него был доступ к сети. После захвата доступ можно было продавать.
Апогей карьеры Fxmsp пришелся на апрель 2019 года: тогда компания AdvIntel заявила, что хакер сообщил о взломе сетей крупнейших производителей антивирусного обеспечения, а также завладел их наработками и даже исходным кодом. В качестве жертв он назвал McAfee, Symantec и TrendMicro (первые две компании официально опровергли данные о взломе). Цена лота составила рекордные 300 тысяч долларов. Lampeduza, в свою очередь, открестился от связи с этой утечкой, а в мае заявил, что больше не работает с Fxmsp. Предполагается, что разлад произошел из-за повышенного внимания общественности и медиа к паре хакеров. Тем не менее это не мешало Lampeduza продавать доступ к сетям проверенным клиентам в приватной переписке. В следующий раз публичное объявление на андеграундном форуме появилось лишь 19 сентября 2019-го, новой жертвой стала компания из Германии. Оценить реальный заработок взломщика невозможно, так как далеко не все лоты были обнародованы, но только на официально опубликованных объявлениях он мог получить более 124 тысяч долларов.
Fxmsp, по оценкам специалистов, является одним из опаснейших преступников в своей сфере. При этом продажа доступа к корпоративным сетям все-таки считается довольно редкой услугой, которую предоставляет небольшое количество взломщиков. Обычно Fxmsp использовал в работе свой уникальный ник, благодаря которому его и удалось отследить. Его выдал псевдоним: специалисты Group-IB нашли одноименный почтовый ящик на одном из почтовых сервисов в зоне ru. Несмотря на то что киберпреступник никогда и нигде не «светил» электронную почту, исследователи убедились, что именно ее он использовал для регистрации на хакерских форумах (среди них называются lolzteam, proxy-base, exploit и другие).
Кроме этого ящика, был еще и резервный — на другом хостинге, они были привязаны друг к другу. При этом преступник указал, что первая буква должна быть заглавной, — точно так, как он себя называл на андеграундных форумах. Это подтвердило догадки специалистов. Им также удалось обнаружить привязанные к почте аккаунты Skype и зарегистрированный на нее домен. В WHOIS нашлись данные: номер телефона, обслуживающийся одним из провайдеров Казахстана, а также имя andrej a turchin. Также на этот адрес зарегистрирован аккаунт в соцсети «Мой Мир».
Еще одной зацепкой стала информация из Jabber-аккаунта хакера, ссылку на который он разместил на форуме. Там же он почему-то указал дату рождения — 5 декабря. Основываясь на этих данных, исследователи нашли еще один похожий аккаунт: по их мнению, он также принадлежит хакеру, так как его активность и интересы полностью совпадают с «работой» Fxmsp. К примеру, в руки специалистов попал «нарисованный» скрин, где виден домен в зоне ae (ОАЭ), — доступ к такой компании продавал хакер. Через второй Jabber-аккаунт, а именно его никнейм помог расследователям выйти на одноименный почтовый ящик, который, как выяснилось, также был использован для регистрации четырех доменов. Там также фигурировал некий turchin a andrej. На этот же адрес зарегистрирован профиль «ВКонтакте», и одно из фото в аккаунте повторяет снимок в «Моем Мире».
Еще один почтовый адрес, связанный с предполагаемым хакером, использовался для регистрации множества различных доменов, их число превышает 60. Большая часть относится к биржевой торговле и ее автоматизации. Предполагается, что они также могли использоваться для заражения вредоносными программами (например, вирус, распространяемый через рассылки SMS-сообщений).
Исследователи пришли к выводу, что скорее всего верно напали на след русскоязычного хакера, который также оказался известен под никами uwert, bosslb и vidi. Им удалось выяснить адреса четырех связанных электронных ящиков, два профиля в ICQ и множество разных аккаунтов на андеграундных форумах. Сейчас Fxmsp приостановил активность, однако, по самым скромным оценкам, менее чем за три года ему удалось скомпрометировать более 135 компаний в 44 странах (в их числе США, Россия, Великобритания, Сингапур, Италия, Франция, Нидерланды, Япония и Австралия): в большинстве случаев это была сфера легкой промышленности, IT и розничной торговли. Десятая часть всех взломов — государственные компании. Сколько хакер заработал на тайных приватных сделках, выяснить вряд ли удастся, но, по самым скромным оценкам, продажа публичных лотов принесла ему как минимум 1,5 миллиона долларов.