Компания Group-IB, работающая в сфере информационной безопасности, провела анализ деятельности хакера и смогла раскрыть личность киберпреступника. За три года своей киберпреступной деятельности хакер Fxmsp смог заработать около 1,5 млн. долларов.
Специалисты компании Group-IB смогли раскрыть личность хакера, который в даркнете проявлял наибольшую активность в сфере продажи доступа к корпоративным сетям компаний. В соответствии с представленным отчетом, хакер Fxmsp за три последних года смог получить доступ более чем в 130 компаний из 45 стран мира. По приблизительной оценке, прибыль после продажи полученных данных составила более 100 млн. рублей.
Эксперты Group-IB отмечают, что размер заработка больше, потому что в подсчитанные 100 млн. рублей не включены «приватные» и повторные продажи одного и того же лота в даркнете, а также около 20% лотов по организациям, доступ к которым предоставлялся без указания стоимости.
Хакер Fxmsp работал преимущественно с промышленными предприятиями, провайдерами связи, IT-сервисами, ритейл-компаниями. Также киберпреступник смог скомпрометировать несколько финансовых учреждений, телекоммуникационных компаний.
В соответствии с отчетом Group-IB, хакер не пользовался фишингом, чтобы проникнуть в корпоративную сеть. Он сканировал диапазон IP-адресов, чтобы найти открытый стандартный порт 3389, применяемый для получения удаленного доступа к устройствам с операционной системой Windows по протоколу RPD. После этого с применением специального программного обеспечения киберпреступник загружал перечень пользователей скомпрометированного устройства, а затем подбирал пароль брутфорсом.
После успешного подбора пароля Fxmsp завершал работу антивируса, выключал файрволл, добавлял новую учетную запись. Чтобы закрепиться в системе, он оставлял бэкдор с таймером.
Эксперты компании Group-IB смогли найти на одном из российских почтовых сервисов адрес электронной почты, который содержал последовательность символов «fxmsp». Затем было обнаружено, что адрес привязан к аккаунту в сети «Мой мир», на котором стояла фотография человека. В социальной сети ВК специалисты нашли человека с такой же фотографией под именем Андрей Турчин. В итоговом отчете Group-IB приведены и другие доказательства того, что киберпреступником является Андрей Турчин из Алматы.
