«El cliente siempre tiene la razón, aunque sea del FBI»: un hacker pasó cinco meses ayudando a la investigación a reunir pruebas incriminatorias contra é
Cómo ganar 50 millones de dólares y acabar en la cárcel por una cuenta antigua de Gmai
Un comprador en un foro clandestino solicitó "acceso a redes corporativas", y el vendedor accedió con gusto. El problema fue uno. El comprador resultó ser un agente del FBI encubierto, y la operación se convirtió en el inicio de una investigación que condujo al ciudadano jordano de 40 años Feras Khalil Ahmad Albashiti.
Según los datos del Departamento de Justicia de EE. UU., el 15 de enero Albashiti se declaró culpable por participar en la actividad del llamado bróker de acceso inicial (IAB): un intermediario que compromete empresas y luego vende acceso a sus redes. La investigación sostiene que en 2023 Albashiti obtuvo acceso no autorizado al menos a 50 redes corporativas, aprovechando vulnerabilidades en dos productos comerciales tipo cortafuegos. En mayo de 2023, con el seudónimo "r1z", vendió al agente del FBI acceso a las redes de las empresas afectadas en un foro de la darknet. En ese momento Albashiti vivía en Georgia.
La comunicación no terminó ahí. Durante los cinco meses siguientes el agente continuó la correspondencia con "r1z" y reunió pruebas de nuevos episodios. En los documentos del caso se indica que Albashiti ofrecía herramientas maliciosas capaces de desactivar soluciones EDR de tres empresas diferentes. Afirmó que su "EDR-killer" funcionaba y decidió demostrarlo en la práctica. Como señalan los investigadores, él no sabía que el FBI estaba observando cómo se empleaba esa herramienta en un servidor de la agencia, al que se le dio acceso específicamente en el marco de la operación.
Además, el agente adquirió de él otro software malicioso. Se trata de una herramienta que permite elevar privilegios de usuario sin autorización, así como de una versión modificada de una herramienta comercial para pruebas de penetración.
Por separado, los investigadores vincularon la dirección IP desde la que Albashiti accedía al servidor proporcionado al FBI con otros ataques. Según la investigación, esa misma dirección se había utilizado anteriormente en intrusiones a sistemas estatales de uno de los territorios de EE. UU., así como en un ataque de ransomware a una empresa manufacturera estadounidense en junio de 2023. Como resultado de ese incidente, las pérdidas, según se afirma, ascendieron a un mínimo de $50 millones.
La identidad de "r1z" se estableció a través del correo electrónico. Las autoridades rastrearon la cuenta de Gmail que se usó para registrarse en el foro en 2018 y descubrieron que la misma dirección la había indicado Albashiti en la solicitud de visa estadounidense en octubre de 2016. El FBI precisó que obtuvo acceso a los datos del foro en el marco de otra investigación no relacionada con este caso.
Albashiti fue arrestado en julio de 2024 y desde entonces permanece bajo custodia. Renunció a la revisión por gran jurado y se declaró culpable de los cargos relacionados con la comercialización de accesos y credenciales no autorizados. La sentencia debe anunciarse en mayo. Enfrenta hasta 10 años de prisión y una multa de hasta $250,000; los fiscales señalan que la cantidad puede calcularse como el doble del beneficio obtenido o del daño causado.