Ilustracja przedstawiająca brokera w mrocznym, technologicznym otoczeniu.
Cyberbezpieczeństwo

Feralna sprzedaż dostępu do sieci – jak FBI złapało brokera r1z

przez

Sprzedać FBI klucze do 50 firmowych sieci i jeszcze dorzucić demo malware’u na ich serwerze? To nie scenariusz thrillera, tylko realna wpadka pewnego „brokera dostępu”.

40-letni Jordańczyk Feras Khalil Ahmad Albashiti, znany na forach jako „r1z”, przyznał w amerykańskim sądzie, że handlował nieautoryzowanymi danymi dostępowymi i wejściówkami do co najmniej 50 sieci korporacyjnych. Wpadł, bo sprzedał je agentowi FBI pod przykrywką i przez kolejnych pięć miesięcy dostarczał mu dowody na własną działalność. Grozi mu do 10 lat więzienia i grzywna do 250 tys. dolarów (lub dwukrotność osiągniętych korzyści/strat). Wyrok ma zapaść 11.05.2026 r. przed sędzią Michaelem A. Shippem w New Jersey.

„Initial access brokers” – pośrednicy sprzedający pierwszy dostęp do cudzych sieci – to dziś kluczowy element łańcucha ataków: ułatwiają ransomware, kradzież danych i szpiegostwo. Sprawa „r1z” pokazuje, jak wygląda ten rynek od środka i gdzie wciąż ciekną zabezpieczenia: na brzegu (firewalle) i w środku (EDR).

Ilustracja przedstawiająca brokera dostępu do sieci w mrocznym środowisku cyfrowym.
Grafika koncepcyjna (AI)

Jak to się zaczęło

Wiosną 2023 r. śledczy weszli na forum handlujące złośliwym oprogramowaniem i szybko namierzyli użytkownika „r1z”. 19.05.2023 r. agent FBI kupił od niego dostęp do sieci kilkudziesięciu firm, płacąc kryptowalutą. Potem kontakt trwał miesiącami: „r1z” oferował kolejne pakiety – od malware’u wyłączającego produkty EDR trzech producentów, po narzędzia do nieautoryzowanego podnoszenia uprawnień i zmodyfikowaną wersję komercyjnego narzędzia pentesterskiego. Kulminacja? Demonstracja „EDR killerów” na serwerze, do którego dostęp dało FBI. To rzadki przypadek, gdy demo produktu samo dostarczyło dowód winy.

Ilustracja przedstawiająca cyberprzestępczość z brokera r1z i agenta FBI w tle.
Grafika koncepcyjna (AI)

Kontekst i ślady

Według dokumentów sądowych Albashiti w 2023 r. wykorzystywał luki w dwóch komercyjnych firewallach, by włamywać się do sieci, które potem monetyzował. Jego OPSEC też nie był wzorowy: adres Gmail, na który założył konto „r1z” w 2018 r., to ten sam, którego użył w 2016 r. przy wniosku wizowym do USA. FBI zdobyło też dane z forum w ramach innego śledztwa, co ułatwiło układankę.

Śledczy zauważyli, że adres IP, z którego „r1z” łączył się z podstawionym serwerem FBI, wcześniej pojawił się przy wtargnięciu do systemów rządu jednego z terytoriów USA oraz przy ataku ransomware na amerykańskiego producenta w czerwcu 2023 r., z szacowanymi stratami co najmniej 50 mln dolarów. Uwaga: w sprawie Albashitiego mowa o handlu dostępami i narzędziami; reszta to kontekst śledczych, nie wyrok.

Szerszy trend: pośrednicy napędzają rynek

„Initial access brokers” sprzedają wejście do środka bez negocjowania okupu czy eksfiltracji terabajtów danych. Ransomware’owe gangi i inni przestępcy chętnie kupują gotowe ścieżki wejścia, by zaoszczędzić czas i ryzyko.

To nie jedyny przypadek: w listopadzie do winy przyznał się Rosjanin pośredniczący dla afiliantów Yanluowang, którzy atakowali firmy w USA.

Fakty, które bolą obrońców

  • Perimetr dalej jest miękki: dwie komercyjne zapory, podatności z 2023 r., i gotowe. Jeśli urządzenia brzegowe nie są łatane priorytetowo, reszta to kosmetyka.
  • EDR da się wyłączyć: malware sprzedawane przez „r1z” wyłączało produkty trzech firm. Bez ochrony przed manipulacją i niezależnych źródeł telemetrii rośnie ryzyko ślepej strefy.
  • OPSEC przestępców bywa słaby: ten sam Gmail w wizie i na forum to błąd podstawowy.

Komentarz: rynek, który nie znika

Czy kolejne aresztowania zatrzymają brokerów dostępu? Nie. Zmieniają jednak rachunek ryzyka i psują zaufanie na forach – a bez zaufania nawet przestępcy zaczynają sprawdzać, komu sprzedają. Paradoks epoki: cyberprzestępczość działa jak B2B, więc i tu reputacja oraz weryfikacja kontrahenta mają znaczenie. Sprzedaż „dostępów” agentowi FBI to kosztowna lekcja z due diligence po ciemnej stronie sieci.

Wnioski dla firm, bez list kontrolnych

Jeśli bronisz sieci, prześledź tę sprawę krok po kroku. Po pierwsze: edge to priorytet – aktualizacje i telemetria z urządzeń brzegowych muszą być regularne i przewidywalne. Po drugie: zakładaj, że EDR można obejść – warstwowa detekcja, wymuszona ochrona przed manipulacją, nieusuwalne logowanie i segmentacja mają wtedy sens. Po trzecie: obserwuj sygnały kupna/sprzedaży dostępu – częste zmiany geolokalizacji logowań, nagłe pojawienie się uprzywilejowanych tokenów, świeże ślady skanerów pod konkretne CVE.

Spokojne domknięcie

„r1z” nie wymyślił nic nowego; zrobił tylko zbyt dużo, zbyt szybko i dla niewłaściwego „klienta”. Dla obrońców to przypomnienie, że najgroźniejsze ataki zaczynają się od prozaicznych nawyków: zapomniany patch, EDR bez ochrony przed manipulacją, logi zbyt rzadko czytane. Pytanie brzmi: kto dziś kontroluje wejścia do waszej sieci – wy, czy ktoś, kto właśnie wystawia je na sprzedaż?

FAQ

Kiedy zapadnie wyrok w sprawie Ferasa Khalila Ahmada Albashitiego?

Wyrok ma zapaść 11.05.2026 r. w Sądzie Okręgowym w New Jersey. Maksymalna kara to 10 lat więzienia i grzywna do 250 tys. dolarów lub dwukrotność korzyści/strat.

Czym jest initial access broker i jak działa?

To pośrednik sprzedający pierwszy dostęp do cudzej sieci. Zwykle zdobywa go przez luki w urządzeniach brzegowych, phishing lub skradzione hasła, a potem odsprzedaje gangom ransomware i innym grupom.

Jak FBI namierzyło „r1z” w tej sprawie?

Kluczowy był zakup kontrolowany od agenta pod przykrywką oraz dane z forum pozyskane w innym śledztwie. Śledczy powiązali też jego konto z adresem Gmail użytym wcześniej przy wniosku wizowym do USA.

Czy ta sprawa ma związek z ransomware?

Pośrednio. Brokerzy dostępu często karmią ekosystem ransomware, a adres IP związany z „r1z” pojawił się wcześniej przy ataku z co najmniej 50 mln dolarów strat; on sam przyznał się jednak do handlu dostępami, nie do wymuszeń.

Jak firmy mogą ograniczyć ryzyko od brokerów dostępu?

Priorytetem są szybkie łatki urządzeń brzegowych i wymuszone MFA. Warto też włączyć ochronę przed manipulacją w EDR, zbierać nieusuwalne logi i monitorować anomalie logowań oraz nietypowe eskalacje uprawnień.

Źródła

🧠 Czy ten artykuł dał Ci nową perspektywę?
Jedno kliknięcie. Zero kont. PressMind uczy się razem z Tobą.
Ładowanie oceny…

PressMind Labs - Ślad badawczy

To nie jest ozdobnik. To ślad po procesie: ile informacji było szumem, ile stało się wiedzą i jak wyglądał research, zanim powstał ten tekst.

3 źródeł użytych w tekście
3 niezależnych domen
4 min 35 s czas researchu
Średni sygnał jakości
Skan tematu
214 z 319 sygnałów (RSS: 2433)
Zachowano: 214 (67%) | Odrzucono: 105 (33%)
Źródła (finalne)
3 źródeł z 3 domen
Start: 2 | Finalnie: 3
Czas researchu
4 min 35 s
Różnorodność domen: 3 Źródła użyte: 3 Kontekst: pominięty

1. Zbieranie sygnałów (discovery)

Temat
Jordanian Admits in US Court to Selling Access to 50 Enterprise Networks
RSS - źródeł w configu
63
RSS - stan źródeł
63 / 63 OK
RSS - przepływ (od surowych do unikalnych)
2433 -> 2372 -> 377 -> 319
RSS - usunięte duplikaty tytułów
1
Pula tematów (z RSS)
319
Wybrane do analizy
214
Odrzucone
105
Duplikaty (archiwum tematów)
1
Klastry (wątki)
119

2. Selekcja i filtrowanie

Odrzucono tematycznie (tytuł + słowa kluczowe)
3
Odrzucono jako nieaktualne (filtr daty)
2
Odrzucono semantycznie (embedding)
12

3. Wyszukiwanie i wzbogacanie

Zapytania wyszukiwawcze
9
Unikalne wyniki
37
Kandydaci
14
Dodane z wyszukiwania (cache+live)
2
Przeskanowano URL-i (research)
2

4. Finalny kontekst

Źródła użyte w tekście
3
Źródła (domeny)
3
Wikipedia - kontekst
nie
Expansion - kontekst
nie
Wyłuskane liczby
0
Ten proces pokazuje, jak z dziesiątek sygnałów wyłania się kilka sprawdzonych źródeł, na których oparto finalny tekst.

Dodaj komentarz