Firma Advanced Intelligence opublikowała raport dotyczący niedawnej aktywności grupy przestępczej „Fxmsp”, której członkowie posługują się językami rosyjskim i angielskim. Wykradziono około 30 terabajtów danych ze serwerów trzech dużych firm zlokalizowanych na terenie USA z branży antywirusowej. Dostęp do przechwyconych materiałów jest sprzedawany zainteresowanym nabywcom za 300 000 dolarów.

Na podstawie strzępków informacji, które dostarcza Advanced Intelligence, trudno jest ustalić, o których dostawcach technologii zabezpieczających wspomina raport. Pewną sugestią są słowa „Breaches of Three Major Anti-Virus Companies”, a więc prawdopodobnie może chodzić o firmy: Symantec, Webroot, Comodo, Malwarebytes, McAfee, Microsoft, Vipre. Listę można rozszerzyć o dostawców, którzy oferują np. produkty do ochrony sieci, aplikacji, w tym i stacji roboczych: Barracuda, Cisco, CrowdStrike, Cylance, FireEye, Fortinet, Lastline, Palo Alto, SentinelOne. Może też chodzić o dużych producentów, którzy nie pochodzą z USA, ale mają na terenie kraju swoje biura.

Wyciek kodów antywirusów.
Jest to jedyny dostępny dowód na wyciek kodów antywirusów. Firma Advanced Intelligence nie podaje nic innego.

Za atakiem na infrastrukturę trzech dużych firm antywirusowych rzekomo stoi przestępcze ugrupowanie o nazwie „Fxmsp”. Według informacji zawartych w raporcie ci hackerzy koncentrują się na atakach na duże organizacje. Specjalizują się w sprzedaży dostępu do sieci skompromitowanych firm na całym świecie. Jako przykład podaje się, że to właśnie ta grupa może stać za atakami na sieć hoteli Marriott i Starwood w zeszłym roku.

Do ataku na trzy firmy z branży antywirusowej prawdopodobnie doszło w marcu 2019 roku albo wcześniej. Wiadomo też, że hackerzy rozpracowywali cele już w pierwszym kwartale 2019 roku.

Skradziono kody źródłowe antywirusów

Według raportu udało się ukraść kody źródłowe agentów antywirusowych, kody maszynowego uczenia do wykrywania złośliwego oprogramowania oraz wtyczki do przeglądarek internetowych. Ugrupowanie Fxmsp za dowód podaje trzy zrzuty folderów zawierających 30 terabajtów danych, które rzekomo zostały skradzione z sieci firm z branży bezpieczeństwa. Foldery mogą zawierać dokumentację oprogramowania, informacje na temat modelu maszynowego uczenia, a także wspominane kody źródłowe.

Nie jest znany wektor ataku, ale na podstawie archiwalnych danych przypuszcza się, że grupa Fxmsp koncentrowała się na atakach na RDP do serwerów z usługą Active Directory. Podobno ugrupowanie opracowało złośliwe oprogramowanie kradnące dane uwierzytelniające i wykorzystało je przeciwko wybranym celom.

Zaleca się, aby firmy posiadające jakąkolwiek własność intelektualną zaczęły monitorować swoje sieci, dane i wdrożyły zabezpieczenia np. segmentację środowiska roboczego.

Najsłabszym ogniwem bezpieczeństwa jest człowiek i prawdopodobnie tutaj należy szukać przyczyny. Podobno jeden z członków grupy hackerów specjalizuje się w socjotechnicznych atakach. Podobno ma też pochodzenie rosyjskie. W obecnej chwili brak jakichkolwiek dowodów w tej sprawie.

Aktualizacja 14 maja 2019

Zaktualizowane informacje zostały opublikowane pod linkiem: https://avlab.pl/symantec-tre…

AUTOR:

Adrian Ścibor

Podziel się

Komentarze

spotify pon., 13-05-2019 - 16:47

Jak to możliwe? Jak mieć zaufanie do programów antywirusowych, jak producenci tych programów siebie nie umieją chronić?

"Według raportu udało się ukraść kody źródłowe agentów antywirusowych, kody maszynowego uczenia do wykrywania złośliwego oprogramowania oraz wtyczki do przeglądarek internetowych"
Nie znam się na programowaniu. To jest jakiś ogólny kod czy każdy producent AV ma swój autorski?
Ta kradzież tylko dotyczy tych producentów czy to odbije się rykoszetem w innych producentów poza USA?

Adrian Ścibor pon., 13-05-2019 - 18:17

Na pewno odbije się to w jakimś stopniu na wizerunku całej branży. Przypomnę, że w przeszłości też wyciekały kody antywirusów np. Symanteca i Kaspersky. Było to lata temu. Problemem jest to czy ktoś zdąży przeanalizować i wykorzystać to. Nawet jeśli nie, to nie wiadomo, jakie tajemnice mogły wyciec i czy zostaną kiedyś wykorzystane przeciwko firmie. Tak czy owak jedni zyskają, inni stracą. Obyśmy się dowiedzieli, które to firmy. Prewencyjnie można odinstalować wszystko, co amerykańskie :)

Dodane przez spotify w odpowiedzi na

spotify pon., 13-05-2019 - 19:44

Windowsa też :)?
To może równie dobrze być jakieś centrum AV z Europy? Z tego co wiem to Eset czy Fsecure mają swoje centra badawcze w USA. A pewnie znajdzie się takich producentów więcej ;)

Dodane przez Adrian Ścibor w odpowiedzi na

Dodaj komentarz