Este ciberdelincuente saltó a la fama en 2019 cuando publicó el acceso y el código fuente de las principales empresas de ciberseguridad, afirmando que podía convertir a cualquiera de sus clientes en "el dios invisible de las redes". Sin embargo, su identidad y técnicas seguían siendo en gran medida desconocidas.
nPero hace unos días, un tribunal estadounidense hizo públicos los cargos penales en los que solo figuraba el nombre de un ciudadano kazajo, Andrey Turchin, lo que lo sitúa como el hombre detrás de los ataques, con cinco cargos de delitos graves contra él. Las acusaciones se remontan a 2018, cuando investigadores estadounidenses aseguran que descubrieron la verdadera identidad de Turchin, que permaneció oculta, como suele ser típico en los casos que involucran a hackers extranjeros. Pero el juez del Distrito Oeste de Washington (EE. UU.) ordenó revelar casi todos los cargos porque la compañía de ciberseguridad Group-IB había dado a conocer públicamente la identidad de Turchin en un informe del mes pasado.
nUn atacante "prolífico"
nFxmsp apareció por primera vez en 2016 como un hacker con muchas capacidades técnicas y una serie de filtraciones de datos, pero poca experiencia, según Group-IB. Un año después, anunció el acceso a las redes corporativas de bancos y hoteles de todo el mundo, que fue la señal de su rápido éxito y del aumento en sus actividades delictivas.
nEn 2019, Fxmsp saltó a los titulares al anunciar el acceso a los datos de tres de las principales empresas de ciberseguridad: McAfee, Trend Micro y Symantec, según los informes. Ofrecía acceso a la red y al código fuente a precios que iban desde los 300.000 dólares (264.000 euros) hasta el millón de dólares (880.000 euros). Las autoridades estadounidenses aseguran que las víctimas perdieron decenas de millones de dólares por malware, accesos no autorizados y daños a la red.
nGroup-IB describe las tácticas utilizadas como "muy simples pero efectivas". Fxmsp aprovechó las habituales brechas en seguridad que existen en las principales empresas de todo el mundo, incluso en organizaciones que aparentemente están bien protegidas. Estuvo activo en algunos de los más conocidos foros de cibercrimen del mundo de habla rusa y, después de unir fuerzas con otro hacker llamado Lampeduza, se convirtió en uno de los más prolíficos y efectivos del mercado.
n"Fxmsp es uno de los más prolíficos vendedores de acceso a redes corporativas en la historia del cibercriminal clandestino de habla rusa", subrayó el mes pasado uno de los directivos de Group-IB Dmitry Volkov, y añadió: "A pesar de los bastante simples métodos que utilizaba, Fxmsp conseguía acceso a compañías de energía, organizaciones gube amentales e incluso a algunas empresas de Fortune 500".
nLas autoridades afirmaron que este caso había involucrado al FBI, a la Agencia Nacional del Crimen de Reino Unido y a las compañías de seguridad del sector privado.
nEn un comunicado el Departamento de Justicia de EE. UU. dijo: "Los precios solían variar desde un par de miles de dólares hasta, en algunos casos, más de 100.000 dólares, en función de la víctima y del grado de acceso y de los controles del sistema. Muchas transacciones se realizaron mediante algún intermediario y depositario, lo que permitía a los compradores interesados probar el acceso a la red durante un período limitado para comprobar la calidad y la fiabilidad del acceso ilícito".
nPero, aunque tuvo éxito, Fxmsp también parecía inexperto y descarado. Una de las reglas más antiguas del hackeo ruso es que no se hackea a la propia Rusia o, si alguien lo hace, no debería hablar de ello. Fxmsp hizo lo contrario, según el informe de Group-IB, ya que intentó vender el acceso a las redes del Gobie o ruso en las que había entrado. Por eso lo expulsaron rápidamente de los foros de delincuencia informática antes de darse cuenta de su fallo, algo que nunca repitió.
nLos errores cometidos en sus primeros días ayudaron a los investigadores a descubrir su identidad. Actualmente, Turchin se enfrenta a una serie de cargos, que incluyen conspiración para cometer hackeos, dos cargos de fraude informático y abuso (hackeo), conspiración para cometer fraude electrónico y fraude de acceso ilícito a dispositivos.
nLa extradición parece improbable
nLa policía estadounidense cree que Turchin probablemente supiera desde hacía algún tiempo que tenía cargos penales esperándole en Estados Unidos. Las autoridades estadounidenses, europeas y kazajas están investigando este caso juntas. Kazajstán no extradita a sus ciudadanos, y como Turchin es kazajo, es probable que el caso sea procesado en ese país.
nFxmsp no ha estado públicamente activo desde el año pasado, cuando se empezó a prestar mucha atención a las presuntas filtraciones de datos de las empresas de ciberseguridad. Los recientes informes de la empresa de ciberseguridad Advanced Intelligence, que siguió de cerca a Fxmsp durante años, han planteado otras teorías, incluida la de que este equipo de hackers sigue activo bajo diferentes nombres y en otros espacios. El subdirector del Programa sobre Extremismo de la Universidad George Washington (EE. UU.), Seamus Hughes, fue el primero en informar sobre esta acusación.
n