«Клиент всегда прав, даже если он из ФБР». Хакер 5 месяцев помогал следствию собирать на себя улики

Покупатель на теневом форуме попросил «доступ в корпоративные сети», и продавец охотно согласился. Проблема была в одном. Покупателем оказался агент ФБР под прикрытием, а сделка стала началом расследования, которое вывело на 40-летнего гражданина Иордании Фераса Халила Ахмада Альбашити.

По данным Минюста США, 15 января Альбашити признал вину по делу об участии в работе так называемого брокера начального доступа (Initial access broker, IAB) – это посредник, который взламывает компании и затем продает доступ к их сетям. Следствие считает, что в 2023 году Альбашити получил несанкционированный доступ как минимум к 50 корпоративным сетям, используя уязвимости в двух коммерческих продуктах класса firewall. В мае 2023 года под ником «r1z» он продал агенту ФБР доступ к сетям пострадавших компаний на даркнет-форуме. На тот момент Альбашити жил в Грузии.

Дальше общение не закончилось. В течение следующих пяти месяцев агент продолжал переписку с «r1z» и собирал доказательства новых эпизодов. В материалах дела говорится, что Альбашити предлагал вредоносные инструменты, способные отключать средства EDR от трех разных компаний. Он утверждал, что его «EDR-killer» работает, и решил продемонстрировать это на практике. Как отмечают следователи, он не знал, что ФБР наблюдает, как этот инструмент применяется на сервере агентства, доступ к которому ему специально предоставили в рамках операции.

Кроме того, агент приобрел у него другой вредоносный софт. Речь идет об инструменте, который позволяет повышать привилегии пользователя без разрешения, а также о модифицированной версии коммерческого инструмента для пентеста.

Отдельно следователи связали IP-адрес, с которого Альбашити заходил на предоставленный ФБР сервер, с другими атаками. По данным следствия, этот же адрес ранее использовался при взломе государственных систем одной из территорий США, а также при атаке программы-вымогателя на американскую производственную компанию в июне 2023 года. В результате того инцидента убытки, как утверждается, составили минимум $50 млн.

Личность «r1z» установили через электронную почту. Власти отследили Gmail-адрес, который использовался для регистрации на форуме в 2018 году, и выяснили, что тот же адрес Альбашити указывал в заявке на американскую визу в октябре 2016 года. В ФБР уточнили, что доступ к данным форума получили в рамках другого, не связанного с этим делом расследования.

Альбашити арестовали в июле 2024 года, с тех пор он находится под стражей. Он отказался от рассмотрения дела большим жюри и признал вину по обвинениям, связанным с торговлей несанкционированными средствами доступа и учетными данными. Приговор должны огласить в мае. Ему грозит до 10 лет тюрьмы и штраф до $250 тыс., прокуроры отмечают, что сумма может рассчитываться как двойной размер полученной выгоды или причиненного ущерба.