fxmsp-preview-fb.png

技术编辑:宗恩丨发自 思否编辑部

SegmentFault 思否报道丨公众号:SegmentFault


一名臭名昭著的黑客通过窃取 44 个国家的 300 多家公司和政府的信息,赚了 150 多万美元,这名黑客被称为 Fxmsp,2019 年他公开发布了顶级网络安全公司的访问权限和源代码,并声称可以让任何给他提供资金的客户成为 「网络的隐形之神」。

在很长一段时间里 Fxmsp 的身份和技术能力不为人知。但近日,美国法院解封了一项刑事指控,将一名 37 岁哈萨克男子安德烈·图尔钦认定为黑客 Fxmsp ,并详细列出了对他的五项重罪指控。

这些指控最早可以追溯到 2018 年,资料还显示当时美国调查人员就已经发现了安德烈·图尔钦的真实身份,但一直将信息保存为封存状态,网络安全专家称封锁信息这种行为在涉及到外国黑客的案件中很常见。但网络安全公司 Group-IB 近期的一份报告中公开披露了安德烈·图尔钦的身份,华盛顿西区的一名法官随即裁定解封这些指控。

不到三年成为「著名」黑客

根据 Group-IB 的数据显示 ,Fxmsp 在 2016 年 9 月首次以黑客的身份出现,他在地下论坛「fuckav [。] ru」上注册账号并四处询问有关自我传播的持久性加密采矿恶意软件和其他特洛伊木马病毒的制作方法。在 2017 年初,他在著名黑客交流网站「exploit [。]」上注册了帐户,并开始出售对受侵害的公司网络的访问权限。

意想不到的是他的「生意」出奇的好,短短一个月就收获了 18 个客户,他甚至开始设想入侵 IBM 和 Microsoft。并且他还雇用了一个昵称为 Lampeduza 的用户担任他的销售经理,俩人在社区中公开售卖黑到的公司数据。

Lampeduza 在社区的广告贴中这样这样写道「我们拥有 62 家公司的数据和访问权,您将可以访问这些公司的整个网络,我们可以让你成为网络中的隐形神……」

2019年,Fxmsp 闯入三家网络安全公司(McAfee, Trend Micro, and Symantec)的数据库,并把这三家网络安全公司的访问权限和源代码以价格从 30 万美元到 100 万美元不等出售,这次事件使成为各大安全网站的头条新闻。美国安全官员称,这次事件中受害者因恶意软件、未经授权的访问和网络损坏损失了数千万美元。

不过 Fxmsp 的傲慢与粗暴最终把自己葬送。俄罗斯地下黑客有一个规则:「不要对俄罗斯政府或者公司进行黑客活动,如果你黑了,一定要保持沉默」。

根据 Group-IB 的报告显示,Fxmsp 曾试图出售他闯入的俄罗斯政府网络的访问权限,不过很快他就被黑客论坛禁言了,这些错误帮助研究人员确定了他的身份。现在,Fxmsp 面临着一系列指控,包括阴谋实施计算机黑客攻击、两项计算机欺诈和滥用(黑客攻击)、阴谋实施电报欺诈和接入设备欺诈。

Fxmsp 自去年以来一直没有公开活动,但一直追踪 Fxmsp 网络安全公司 Advanced Intelligence 提出了其他理论「Fxmsp 仍以不同的名字从事着黑客活动」。

Fxmsp用到的黑客技术和防范法则

Fxmsp 在他职业生涯的最早阶段留下的数字痕迹使 Group-IB 威胁情报团队得以建立他的工具集和方法。在大多数情况下,Fxmsp 使用一种非常简单而有效的方法。

他扫描了某些开放端口的 IP 地址范围,以识别开放的 RDP(远程桌面协议)端口,尤其是 3389。然后,他对受害服务器进行了蛮力攻击,以猜测 RDP 密码。获得对目标设备的访问权限后,Fxmsp 通常会禁用现有的防病毒软件和防火墙,然后创建其他帐户。接下来,他将服务器上的 Meterpreter 有效负载用作后门。

Fxmsp 自己在帖子中指出,安装后门时,他设置了较长的 C&C 服务器连接间隔:每 15 天一次。获得访问权限后,Fxmsp 收集所有帐户的转储并将其解密。最后,他通过安装后门感染了备份。即使受害者注意到系统中有可疑活动,他们也很可能会更改密码并回滚到已经受到威胁的备份。这种方法使他可以保持持久性,并且长时间不被注意。

Group-IB 就如何防范 Fxmsp 攻击给出了建议

  • Fxmsp 使用开放的 RDP 端口作为初始攻击媒介,因此,可以通过将默认 RDP 端口 3389 更改为任何其他端口来进行编辑。
  • 由于攻击者通常需要多次尝试暴力破解密码并获得对 RDP 的访问权限,因此通过限制每个用户失败的登录尝试次数来启用帐户锁定策略非常重要。
  • 确保抵御此类攻击的能力的另一个重要因素是,不断监视暗网中与您公司相关的受到破坏的数据。

图片和部分内容来自:Group-IB

资讯频道1270x300.png


宗恩
2.9k 声望55 粉丝

关注新科技


引用和评论

0 条评论