Спецпроекты

Хакер с хорошей репутацией продает доступ в сети Symantec и ООН

2548
Безопасность Стратегия безопасности Пользователю Интернет Веб-сервисы
Хакер продаёт доступ по RDP в инфраструктуру антивирусных компаний и организации при ООН. Но не приводит серьёзных доказательств тому, что его клиенты действительно получат возможность вторгаться в чужие сети.

Ахиллесова дверь

Хакер под никнеймом Achilles продаёт на киберкриминальных форумах доступ к внутренней цифровой инфраструктуре нескольких организаций, в том числе, UNICEF (ЮНИСЕФ, Детский фон ООН), а также антивирусных компаний COMODO и Symantec и разработчика инструментов для создания 3D-графики Hash Inc.

За каждый лот хакер просит от $2 тыс. до $5 тыс. в зависимости от предполагаемой ценности информации. Для подобных предложений цена не слишком высока, пишет ресурс Bleepingcomputer.

Наибольшую активность продавец стал проявлять с осени 2018 г. Эксперты полагают, что Achilles - иранец, знающий английский язык. Уже высказываются предположения, что он может быть связан с группировкой Iridium, хотя прямых доказательств этому пока не нашлось.

Продажи доступа к инфраструктурам антивирусных компаний Symantec, McAfee и Trend Micro ранее уже случались, этим занималась группировка Fxmsp. Но, по-видимому, прямой связи между Fxmsp и Achilles нет.

symantec600.jpg
Хакер продаёт доступ в инфраструктуру антивирусных компаний и ЮНИСЕФ

Эксперты ИБ-компании Advanced Intelligence указывают, что у Achilles в киберподполье очень неплохая репутация именно как у продавца. Дабы упрочить её, Achilles настаивает, чтобы оплата его «товаров» производилась через встроенный депозитарный сервис хакерского форума.

Доступ в сети Symantec и Hash Inc., по сведениям от самого хакера, производится через RDP-соединения. В Symantec указывают, что никаких признаков вторжения в их сети не наблюдается и что причин для беспокойства нет.

Доказательства только косвенные

Эксперты Advanced Intelligence отмечают, что никаких доказательств тому, что у хакера действительно есть доступ в сети Symantec или Comodo, он так и не представил.

Что касается ЮНИСЕФ, то Achilles представил скриншоты с документацией, якобы принадлежащей этой организации. На одном из скриншотов фигурируют два сетевых накопителя, один из которых содержит чуть менее 4 ТБ данных.

Achilles ведёт очень активную деятельность на нескольких хакерских форумах, продавая самые разные типы данных. На l33t, например, он рекламировал доступ к DNS-серверам нескольких правительственных доменов Великобритании, а также продавал RDP-доступ к сетям британских коммерческих фирм и 600 ГБ данных, украденных оттуда. Ранее он предлагал покупателям данные и реквизиты доступа к компьютерам сотрудников GoDaddy, DHL, Citrix, BBC и Facebook.

В большинстве случаев Achilles старается избегать использования вредоносного ПО и «работать руками»; иногда, впрочем, он использует брутфорс-атаки для получения паролей к внешним порталам и удалённым службам атакуемых компаний. В случае успеха хакер пытается повысить свои привилегии в системе и атаковать серверы Active Directory, которые отвечают за авторизацию компьютеров в сетях на базе Windows.

«Доступ в чужие сети - ходовой товар на хакерских форумах, - говорит Дмитрий Залманов, эксперт по информационной безопасности компании SEC Consult Services. - Если у Achilles действительно хорошая репутация как у продавца таких данных, высока вероятность, что Symantec, COMODO и, особенно, ЮНИСЕФ есть, о чём беспокоиться. Репутация среди хакеров дорогого стоит, а потерять её куда проще, чем наработать и, тем более, восстановить».

Профиль месяца

Мы отказываемся от лоскутной автоматизации

Валерий Дьяченко

ИТ-директор «Мечела»

Взгляд месяца

Перспектива умного контроля над бизнесом ближе, чем кажется

Савва Шипов

Замминистра Минэкономразвития