Hacker van honderden bedrijfsnetwerken aangeklaagd in VS

De aanklacht tegen de 37-jarige topman 'Fxmsp ' van de gelijknamige cybercrimebende is eerder deze week ontzegeld. Tot op heden was de zaak nog achter gesloten deuren, maar een recent rapport van securitybedrijf Group-IB had al details naar buiten gebracht. Volgens onderzoek van Group-IB heeft Fxmsp zich in slechts enkele jaren ontpopt van nieuwkomer tot grote speler in de Russisch sprekende cybercriminele ondergrond. De inwoner van Kazachstan is sinds zijn debuut in 2018 uitgegroeid tot één van de meest beruchte en meest actieve verkopers van toegang tot bedrijfsnetwerken.

Pitch: onzichtbare god

"Je wordt de onzichtbare god van netwerken", luidde de verkooppitch op ondergrondse fora voor cybercriminelen. Het Amerikaanse ministerie van Justitie beschuldigt hem van verschillende vormen van computermisdaad waar wereldwijd honderden organisaties in meer dan 40 landen slachtoffer van zijn geworden. De bende verschaftte zich toegang tot netwerken van bedrijven, universiteiten en overheidsinstanties om daar dan blijvende toegang te installeren wat ze vervolgens te koop aanboden aan andere cybercriminele figuren.

De aangeklaagde man heeft volgens Justitie een verzameling aan hacktechnieken en malwaremiddelen ingezet om toegang tot netwerken te verkrijgen én te behouden. "Hij gebruikte vaak special ontworpen code om het internet te scannen op openstaande Remote Desktop-poorten (RDP) en hij ondernam brute-force aanvallen voor initiële compromitering van netwerken van slachtoffers", valt de lezen in de aanklacht.

Eenmaal binnengedrongen op een kwetsbaar systeem bewoog de hacker zich 'zijdelings' naar andere systemen binnen het netwerk waar dan malware werd losgelaten om inloggegevens van beheerders te vinden en buit te maken. Zo viel er blijvende toegang te realiseren. Vaak werden hierbij de instellingen van securitysoftware aangepast zodat eigen malware ongestoord z'n werk kon doen. Klanten konden ook een proefperiode van toegang krijgen om de geboden waar te keuren op kwaliteit en betrouwbaarheid. De betaling voor de cybercriminele netwerktoegang werd dan in escrow vastgehouden.

Ook Nederland

Zeker één organisatie in Nederland is hierbij voor de bijl gegaan, weet fraudenieuwssite BankInfoSecurity te citeren uit het rapport van Group-IB. Op de gepubliceerde wereldkaart met Fxmsp-slachtoffers worden vijf internationale firma's niet getoond, net zoals acht bedrijven waarvan Fxmsp geen locatie heeft aangegeven in zijn 'advertenties'. Het merendeel van de gehackte organisaties bevindt zich in de Verenigde Staten. In de gedetailleerde aanklacht van het Amerikaanse ministerie van Justitie worden diverse gevallen aangehaald.

Deze slachtoffers omvatten een havenautoriteit in Washington, een Amerikaanse luchtvaartmaatschappij in New York, een software-ontwikkelaar in Californië, het ministerie van Huisvesting in een Afrikaans land, het ministerie van Mijnbouw en Energie in een Aziatisch land, het ministerie van Financiën in een Afrikaanse land, een hotelketen in de Verenigde Staten, en een luxe hotelketen met locaties verspreid over Europa, Noord-Afrika, Latijns-Amerika en het Caribisch gebied. Ook restaurants, winkelketens en universiteiten stonden op de 'verkooplijst' van de ondernemende hacker.

Verder heeft Fxmsp geclaimd dat hij toegang had tot meer dan 200 netwerken in Groot-Brittannië van overheidsorganisaties en politie of Justitie. De Britse autoriteiten hebben in deze zaak samengewerkt met onder meer de FBI en het National Security Committee van de Republiek Kazachstan. In mei dit jaar heeft securityleverancier Trend Micro bevestigd dat het is getroffen door een hack, die is toegeschreven aan Fxmsp. Het ging volgens het securitybedrijf om een enkel labnetwerk voor testdoeleinden. Symantec (Norton) en McAfee zijn toen ook genoemd, maar ontkennen dat ze zijn gehackt of dat er sprake is van gevolgen voor hun producten, diensten of netwerken.

1,5 miljoen dollar

De te koop aangeboden toegang tot gehackte netwerken bedroeg enkele duizenden dollars tot, in enkele gevallen, meer dan honderdduizend dollar. Het prijsbereik was afhankelijk van het slachtoffer en de 'diepgang' qua toegang tot systemen en instellingen. Naar schatting van security-experts zou er in nog geen drie jaar zeker 1,5 miljoen dollar zijn verdiend met dit cybercriminele werk. Fxmsp is momenteel nog voortvluchtig.