FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序把安全装进口袋
在暗网活跃3年以上
袭击44个国家
入侵135家公司,8.9%为国有企业
仅基于公开拍卖预估获利1500000美金
探究Fxmsp如何从新手骇客成为讲俄语的地下组织的重量级人物,对于安全研究人员了解网络犯罪行业的发展、暗网的变化都有一定意义。
2016年9月,Fxmsp在网络犯罪领域迈出了第一步。
当时,他在一个地下论坛fuckav[.]ru上完成了注册。但这时候的他对于”入侵访问了某一公司后如何将这一访问权变现“、”如何保证对于某一公司的长久入侵访问能力“还一无所知。因此,他在地下论坛四处寻求”同伙“,希望找到自我传播的持久性加密采矿恶意软件和其他特洛伊木马程序,以此来感染公司网络。在这一阶段,Fxmsp给安全研究人员留下了很多把柄。
一般来说,地下论坛上经验丰富的骇客从不会发布自己的联系方式,但是当时的Fxmsp则大意地在论坛留下了自己的联系信息,其中还包括了Jabber帐户。
2017年初,Fxmsp在另外几个讲俄语的论坛上(包括臭名昭著的exploit[.])创建了帐户,他调整了活动重点并开始出售对受入侵的公司网络的访问权限,这些网络在后来几年逐渐成为他的主要业务。
在地下论坛里,Fxmsp逐渐如鱼得水,几次的成功让他变得自大。很快,他甚至和其他骇客讨论起如何入侵IBM和微软,并且试图在俄罗斯出售访问权限,比如在2017年10月,他宣传要出售俄罗斯2个城市的ATM和海关办公室的网站访问权限。但是,在讲俄语的地下论坛有一个不成文的规矩:nothackingwithinRussiaandCIScountries。于是,Fxmsp的行为收到了论坛的禁令。
2018年1月17日,Fxmsp有了整整18位买家。
因为网络犯罪业务发展得如此之好,以至于他还雇用了昵称Lampeduza的用户(又名AntonyMoricone、BigPetya、Fivelife、Nikolay、tor)担任他的销售经理。
2018年初,销售经理Lampeduza加大推广他们的”服务“,甚至在一个论坛帖子中写道:“……您将可以访问公司的整个网络……您将成为网络中的隐形的神……”
在两人合作期间,宣传了对62家公司的访问出售权,累计总价格达到1100800美元。
2018年10月下旬,这个2人团体受到了打击,因为他们试图将对同一网络的访问权出售给几个不同的买家,名声受损……此后,开始转向专注于“私人销售”,即仅与有限的客户群合作。直到2019年3月中旬,Lampeduza在论坛上复出,恢复活动。
Fxmsp的公开活动在2019年4月达到高潮。据悉,他设法入侵了三个防病毒软件供应商的网络,这一事件还登上了头条新闻。
作为讲俄语的地下论坛上的重量级人物,Fxmsp公开出售了对于135家公司的访问权,获得了150万美金的利润。他的成功甚至刺激了暗网犯罪市场的发展,引发了其他骇客的效仿。
而Fxmsp活动的3年,犯罪服务也在不断发生变化:
1、2019年下半年与2017年上半年相比,出售受害企业的网络访问权的买家数量增加了92%
2、在Fxmsp加入之前,买家只提供RDP访问单独的服务器的权限并且不考虑持久性问题,而后来,Fxmsp将犯罪服务提升到了一个新的水平,对于受害企业来说威胁也大大提升。
虽然Fxmsp确实结束了所有公开业务,但他对企业的威胁仍然是存在的。有鉴于此,向公众公开有关FxmspTTP的资料并提供建议,对于公司防范Fxmsp和类似网络犯罪分子进行的攻击帮助具备一定的帮助。