Несколько лет крупнейшие компании мира жили в постоянном страхе. Они боялись стать жертвами одного из опаснейших киберпреступников современности — русскоязычного хакера под ником Fxmsp. Казалось, что он может проникнуть в сеть любой компании, — а за ним и любой другой, у кого хватит денег выкупить доступ. За свою недолгую карьеру Fxmsp заработал не менее 1,5 миллиона долларов, продавая услуги в темном интернете, и скомпрометировал более сотни сетей. Недавно специалисты из компании Group-IB сумели рассекретить личность «невидимого бога сети», чтобы правоохранителям было проще его отыскать. Что успел натворить плодовитый преступник и как его удалось обнаружить — в материале «Ленты.ру».
Первый шаг
Пользователь под ником Fxmsp впервые появился на хакерских форумах еще в сентябре 2016 года. Скорее всего, тогда он еще не обладал достаточными знаниями и опытом, необходимыми для продажи доступов к взломанным сетям, хотя ему уже было что предложить потенциальным покупателям. На этом этапе он решил майнить криптовалюту с помощью захваченных ресурсов: в ноябре он попросил помощи в поиске необходимого программного обеспечения. Но тогда получил лишь грубый ответ. Вскоре хакер вновь попытался найти нужную программу — в этот раз для заражения, но и тогда его усилия были бесплодными. До мая 2017-го Fxmsp затих, а потом вновь вернулся с несколькими вопросами в адрес «коллег».
В июне хакер забросил свой аккаунт на первом форуме, но при этом зарегистрировался на нескольких новых. Тогда он все еще планировал майнить Monero на захваченных мощностях. Но вскоре Fxmsp перепрофилировался, занявшись продажей доступа к взломанным корпоративным сетям. Первое объявление о продаже появилось в сети 1 октября 2017-го. Через несколько дней он уточняет жертву — ею оказался нигерийский банк. Делая первые шаги в незаконной деятельности, многие хакеры бывают неосторожны: они указывают в своих профилях контактные данные или оставляют иные заметные следы. Киберпреступник промахнулся, оставив для связи jabber, — благодаря этой информации его в итоге удалось вычислить.
Вскоре список лотов от Fxmsp пополняют сеть премиальных отелей по всему миру, африканский банк с многомиллиардной капитализацией и база данных российской таможни в паре городов, а также банкомат, тоже находящийся в России. Видимо, ему все-таки удалось найти покупателя, потому что «таможенный» лот был быстро снят с продажи. Однако на форуме хакера заблокировали за компрометацию российских сетей. Русскоязычные киберпреступники стараются не работать с «зоной ру», чтобы не попасть под суд. Хакеру пришлось удалить объявления, чтобы восстановиться в правах на форуме.
В январе 2018 года Fxmsp пришлось рассказать больше о своих покупателях, — по его словам, их было уже 18. Таким образом он отреагировал на недоверие коллег — те полагали, что хакер обманывает их, рассказывая о своих «подвигах» по захвату сетей. С октября 2017-го до конца июля 2018-го Fxmsp опубликовал объявления о продаже доступа к сетям 51 компании из 21 страны мира. Совокупная цена лотов превысила 268 тысяч долларов. К этому моменту взломщик решил доверить реализацию лотов личному менеджеру по продажам. Им стал пользователь Lampeduza, который также использовал на других форумах ники andropov, Gromyko, BigPetya, Nikolay, Antony Moricone и другие.
Расцвет империи
В сентябре 2018 года Lampeduza написал в одном из рекламных объявлений: «У вас будет полный доступ ко всей сети компании. Вы станете НЕВИДИМЫМ БОГОМ СЕТИ». Основная его активность пришлась на осень, как только Fxmsp уполномочил его продавать свой «продукт». За этот короткий срок хакер вышел на новый уровень: на форуме было выставлено 62 лота общей стоимостью 1,1 миллиона долларов. Однако вскоре схема чуть не развалилась: пользователь g0rx создал топик, где рассказал, что Fxmsp и Lampeduza одновременного продают доступ к сети разным людям, что запрещено правилами. По его словам, его знакомый купил у хакера доступ к взломанной корпоративной сети компании в ОАЭ, однако позднее сам g0rx также получил предложение купить такой доступ. Более того, в скопрометированной сети были обнаружены майнеры криптовалюты. В ответ Lampeduza объявил, что больше не сотрудничает с Fxmsp, но администрация хакерского форума заблокировала обоих. Предполагается, что они стали сотрудничать с узким кругом покупателей, в которых были уверены. Вернулись подельники на андеграундные площадки только в марте 2019-го.
Известно, что Fxmsp не использовал фишинговые рассылки для атак (классический способ проникновения в сеть). Исследователи считают, что он проводил не целенаправленные, а скорее массовые атаки. Его нападение состояло из нескольких этапов. Первый — сканирование диапазона IP-адресов с помощью специальной программы Masscan и других сканеров, чтобы обнаружить открытые RDP порты (3389). Обнаружив потенциальную жертву с открытыми портами, он пытался распознать данные учетных записей (например, логины, чтобы далее подбирать лишь пароли). Далее хакер проводил брутфорс, то есть поиск верного пароля с помощью подбора. Следом происходило закрепление в сети, отключение антивирусов и файервола, захват доступа к контроллеру, установка бэкдора. Fxmsp ставил бэкдоры на бэкапы: если бы вдруг его деятельность заметили, администрация сети бы сменила пароли и «откатила» систему. Хакеру было важно, чтобы и на «откатном» варианте у него был доступ к сети. После захвата доступ можно было продавать.
Апогей карьеры Fxmsp пришелся на апрель 2019 года: тогда компания AdvIntel заявила, что хакер сообщил о взломе сетей крупнейших производителей антивирусного обеспечения, а также завладел их наработками и даже исходным кодом. В качестве жертв он назвал McAfee, Symantec и TrendMicro (первые две компании официально опровергли данные о взломе). Цена лота составила рекордные 300 тысяч долларов. Lampeduza, в свою очередь, открестился от связи с этой утечкой, а в мае заявил, что больше не работает с Fxmsp. Предполагается, что разлад произошел из-за повышенного внимания общественности и медиа к паре хакеров. Тем не менее это не мешало Lampeduza продавать доступ к сетям проверенным клиентам в приватной переписке. В следующий раз публичное объявление на андеграундном форуме появилось лишь 19 сентября 2019-го, новой жертвой стала компания из Германии. Оценить реальный заработок взломщика невозможно, так как далеко не все лоты были обнародованы, но только на официально опубликованных объявлениях он мог получить более 124 тысяч долларов.
