ΑρχικήsecurityFxmsp: Η hacking ομάδα πουλούσε πρόσβαση σε εταιρικά δίκτυα!

Fxmsp: Η hacking ομάδα πουλούσε πρόσβαση σε εταιρικά δίκτυα!

Νέες πληροφορίες έχουν έρθει στο φως της δημοσιότητας σχετικά με τη δραστηριότητα της Ρωσικής hacking ομάδας Fxmsp που πέρυσι διαφήμιζε πρόσβαση στα δίκτυα τριών προμηθευτών κυβερνοασφάλειας. Οι ερευνητές που παρακολουθούν τις δραστηριότητες της Fxmsp σε υπόγεια φόρουμ, μέτρησαν τις εισβολές που έχει πραγματοποιήσει η hacking ομάδα και αποκάλυψαν την υποτιθέμενη ταυτότητα του εισβολέα. Η hacking ομάδα Fxmsp έγινε ευρέως γνωστή πριν από ένα χρόνο περίπου, όταν η cybersecurity boutique Advanced Intelligence (AdvIntel) δημοσίευσε αναφορές σχετικά με τις προσπάθειες της ομάδας να κλείσει μια συμφωνία ύψους 300.000 δολαρίων για πώληση πρόσβασης σε δίκτυα που ανήκουν στις εταιρείες Symantec, Trend Micro και McAfee. Η ομάδα έχει χαμηλώσει τους τόνους αφότου βρέθηκε στο επίκεντρο της προσοχής των μέσων μαζικής ενημέρωσης, αλλά είναι πολύ πιθανό να συνεχίζει τη δραστηριότητά της μέσω ιδιωτικών μηνυμάτων.

hacking ομάδα

Ερευνητές της Group-IB εξέτασαν την δραστηριότητα της ομάδας Fxmsp στα φόρουμ όπου διαφήμιζε την επιχείρησή της, εκτιμώντας ότι η ομάδα έχει παραβιάσει μέχρι στιγμής δίκτυα τουλάχιστον 135 εταιρειών σε 44 χώρες. Ανάμεσα στους στόχους της συμπεριλαμβάνονταν τράπεζες, μικρομεσαίες επιχειρήσεις, κυβερνητικοί οργανισμοί καθώς και εταιρείες που κατατάσσονται στη λίστα Fortune 500. Η Group-IB υπολογίζει ότι από το 2016 περίπου η Fxmsp έχει κερδίσει τουλάχιστον 1,5 εκατομμύρια δολάρια από την πώληση πρόσβασης σε δίκτυα. Τον Μάιο του 2019, η AdvIntel δήλωσε ότι η Fxmsp είναι μια απειλή που έχει κερδίσει περίπου 1.000.000 δολάρια, εκμεταλλευόμενη τις παραβιάσεις που πραγματοποίησε σε βάρος εταιρειών. Το κέρδος μπορεί να φαίνεται αρκετά μεγάλο για χάκερς που έχουν λίγη έως καθόλου εμπειρία στην εμπορία των “περιουσιακών τους στοιχείων”. Ωστόσο, η Fxmsp δεν ήταν μόνη της σε όλο αυτό. Παρόλα αυτά το πραγματικό κέρδος που έχει αποκομίσει η hacking ομάδα εκτιμάται ότι είναι πολύ υψηλότερο στην πραγματικότητα, δεδομένου ότι οι συναλλαγές για πρόσβαση στο 20% των εταιρειών που παραβιάστηκαν, πραγματοποιήθηκαν ιδιωτικά και δεν συνοδεύονταν από δημόσια τιμή.

Fxmsp

Σύμφωνα με την Group-IB , η Fxmsp σταμάτησε τη δημόσια δραστηριότητά τους στα τέλη του 2019, αλλά όχι προτού διαφημίσει την πρόσβαση σε μια εταιρεία ηλεκτρικής ενέργειας στην Ευρώπη που έπεσε θύμα ransomware επίθεσης το 2020. Μια τέτοια εταιρεία που επλήγη από ransomware φέτος είναι η ιταλική πολυεθνική Enel. Σύμφωνα με τον Yelisey Boguslavskiy, διευθυντή έρευνας ασφαλείας της AdvIntel, η Fxmsp ήταν μέρος ενός πληρώματος με την ονομασία GPTitan, το οποίο αποτελείτο από ειδικούς που είχαν ως στόχο να δρουν κρυφά σε χρηματοπιστωτικά περιβάλλοντα για να κλέβουν δεδομένα πελατών από δίκτυα υψηλού προφίλ. Το GPTitan συνέβαλλε στη δραστηριότητα της hacking ομάδας από δύο άλλα πληρώματα, ένα στην Κίνα και ένα στις ΗΠΑ. Επρόκειτο για μια συνεργασία που οδήγησε σε παραβιάσεις δεδομένων εταιρειών antivirus από την άνοιξη του 2019. Φαίνεται ότι η Fxmsp σταμάτησε να ενεργεί μόνη της και πλέον λειτουργεί στο πλαίσιο μιας ευρύτερης ομάδας. Το non-hacking τμήμα της Fxmsp ήταν υπεύθυνο για το μάρκετινγκ και τη δημιουργία εσόδων από την πρόσβαση σε δίκτυα και δεδομένα. Ένα δίκτυο θυγατρικών που λειτουργούσε με το ψευδώνυμο Antony Moricone προσφέρθηκε να δώσει τις κλεμμένες πληροφορίες σε χάκερς και παράνομους εμπόρους πληροφοριών, οι οποίοι τις χρησιμοποιούσαν προς όφελός τους στη διαδικασία λήψης αποφάσεων, σε εταιρείες για τις οποίες ενδιαφέρονταν.

Fxmsp-πρόσβαση σε εταιρικά δίκτυα

Ο Boguslavskiy δεν θεωρεί απίθανο το ενδεχόμενο να λειτουργούν τα ψευδώνυμα της ομάδας Antony Moricone από ένα μεμονωμένο άτομο σε πολλά φόρουμ, κάτι που αναφέρει η Group-IB στην έκθεσή της. Συγκεκριμένα, οι ερευνητές της Group-IB εντόπισαν τα ψευδώνυμα της Lampeduza σε άλλα φόρουμ: Antony Moricone, BigPetya, Fivelife, Nikolay, tor.ter, andropov και Gromyko. Επιπλέον, οι ερευνητές αποκάλυψαν σε μια έκθεση ποια μπορεί να είναι η ταυτότητα πίσω από την hacking ομάδα Fxmsp: Andrey Turchin (το οποίο φαίνεται να προέρχεται από το Καζακστάν), το ίδιο με αυτό που βρήκε το BleepingComputer σε μία έρευνα πέρυσι. Ο Dmitry Volkov, CTO της Group-IB, αναφέρει για την Fxmsp ότι καθιέρωσε μια τάση που οδήγησε το δεύτερο εξάμηνο του 2019 σχεδόν σε διπλασιασμό του αριθμού των πωλητών πρόσβασης σε δίκτυα που ειδικεύονται στις εταιρικές παρεμβολές. Ο Volkov πρόσθεσε πως η Fxmsp ενδέχεται να είναι ακόμα ενεργή, διατηρώντας την επιχείρησή της ιδιωτική. Ακόμα κι αν δεν είναι βρίσκεται πλέον στο προσκήνιο, έχει δώσει ένα παράδειγμα το οποίο μπορεί να ακολουθήσουν κι άλλοι.

Pohackontas
Pohackontashttps://www.secnews.gr
Every accomplishment starts with the decision to try.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS