Wczoraj informowaliśmy o istotnym doniesieniu prasowym bezpośrednio dotyczącym branży, która jest w naszym kręgu zainteresowań. Dowiedzieliśmy się, że wykradziono kody antywirusów trzech dużych amerykańskich firm. Dzisiaj wiemy na pewno, że ugrupowanie cyberprzestępcze Fxmsp zaatakowało firmę Trend Micro, a także prawdopodobnie producentów Symantec oraz McAfee.

Według raportu udało się ukraść kody źródłowe programów antywirusowych, kody maszynowego uczenia do wykrywania złośliwego oprogramowania oraz wtyczki do przeglądarek internetowych. Ugrupowanie Fxmsp za dowód podaje trzy zrzuty ekranów folderów zawierających 30 terabajtów danych, które rzekomo zostały skradzione z sieci firm z branży bezpieczeństwa. Foldery mogą zawierać dokumentację oprogramowania, informacje na temat modelu maszynowego uczenia, a także wspominane kody źródłowe.

Nie ma jednoznacznych dowodów, że przedsiębiorstwa Symantec i McAfee zostały skompromitowane. W oficjalnych oświadczeniach obie firmy zaprzeczają i dają do zrozumienia, że brak jest wystarczających dowodów (przedstawionych przez firmę AdvIntel) na włamanie do sieci czołowych producentów zabezpieczeń.

Rzecznik firmy Trend Micro spokojnie skomentował incydent, mówiąc, że prowadzą dochodzenie w tej sprawie i współpracują z policją. Potwierdził, że nieautoryzowany dostęp uzyskano do jednej z sieci laboratorium testowego. Hakerzy uzyskali pewne informacje związanie z logami debugowania produktu. Zaatakowaną część sieci poddano kwarantannie. Więcej informacji nie udzielono.

Firma Symantec skomentowała to tak, że nie ma wystarczających dowodów na poparcie raportu ujawniającego włamanie. Firma AvdIntel nawiązała kontakt z Symantec, ale nie przedstawiono dowodów na poparcie zarzutu. Jedynym argumentem są jak na razie słowa jednego z członków grupy hakerów. Przestępca w czacie z przedstawicielem AdvIntel wymienia z nazwy trzy firmy: Symantec, Trend Micro i McAfee:

Włamanie do firm antywirusowych Symantec, Trend Micro, McAfee
Źródło: https://www.bleepingcomputer.com/news/security/fxmsp-chat-logs-reveal-the-hacked-antivirus-vendors-avs-respond

(1:26:03) uwerty5411(@exploit.im: I already have outcomes
(1:26:23)
plz? same price?
                    : can throw a screen,
(1:27:17) [email protected]: there are 350 developments of the company, antivirus, kernels, artificial intelligence, web protection, panels, everything that a company has, even those developments that only large corporations
(1:27:26)
                    : Okay, you can without
                    screenshots, this is too much
((1:27:29) [email protected]: the same price
((1:28:07) [email protected]: screenshots are meaningless, but I can show through AnyDesq
(17:29:27) fxmsp: if 100-200 then McAfee
(17:29:36) fxmsp: if 50-100 the Norton
(17:29:44) fxmsp: if 300-350 the trend
                    developments?
(17:30:09) fxmsp: number of files
(17:30:37) fxmsp: sorts of concept extensible
((17:31:22) fxmsp: each antivirus has its own development on past antiviruses, there is are web building versions, there are all sorts of utilities, such as a TeamViewer
(17:31:49) fxmsp: there are antiviri under POS terminals
(17:31:58) fxmsp: mail them a crapload of antivirals each

AdvIntel twierdzi jednak, że mają wystarczające dowody i wymieniają:

  • Dzienniki czatu z przestępcą, które zawierają trzy nazwy firm (McAfee, Symantec i Trend Micro).
  • Materiały wideo dostarczone przez przestępców.
  • Próbki kodu źródłowego od co najmniej jednego ze zhackowanych producentów.

Firma McAfee jeszcze nie skomentowała rzekomych doniesień o cyberataku na ich infrastrukturę sieciową.

Z dużym prawdopodobieństwem można określić wektor ataku. Wykorzystano ataki na protokół RDP do komputerów zawierających istotne informacje. Podobno ugrupowanie hakerów opracowało złośliwe oprogramowanie kradnące dane uwierzytelniające i wykorzystało je przeciwko wybranym celom.

AUTOR:

Adrian Ścibor

Podziel się

Komentarze

Dan wt., 14-05-2019 - 19:19

Przy poprzednim arcie i informacji o wykradzeniu danych amerykańskich producentów oraz sugestii profilaktycznego odinstalowania wszystkiego co amerykańskie, już pobierałem deinstalator COMODO. A tu niespodzianka. Nie tym razem ;-)

KK czw., 23-05-2019 - 22:08

Panie Adrianie czy jest sens sie tym przejmować z poziomu użytkownika programu Symantec - Norton?
Zaleca Pan odinstalowanie i przesiadkę na inny czy spokojną obserwacje tematu i pozostanie przy Nortonie?
Dziękuję i pozdrawiam

Adrian Ścibor pt., 24-05-2019 - 07:49

Symantec nie przyznał się, co wyciekło i twierdzi, że w zasadzie nie było tematu. Jeżeli ktokolwiek miałby kupować informacje od hackerów, to będzie zainteresowany atakami na duże organizacje, atakami ściśle ukierunkowanymi. Nikt nie będzie tworzył masowych ataków, ponieważ inwestycja 300,000 dolarów nie zwróciłaby się. Możesz zmienić produkt bezpieczeństwa, ale nie znajdujesz się w kręgu zainteresowania prawdziwych hakerów.

Dodane przez KK w odpowiedzi na

KK pt., 24-05-2019 - 10:09

Dziękuję za odpowiedź.
No raczej nie jestem obiektem ich głównego zainteresowania ;)
Bardziej martwiłem się tym że skoro np. został wykradziony kod antywira to będzie powstawać plaga: ransomów, trojanów bankowych itp. które będą przechodzić przez zabezpieczenia tych firm jak woda przez sitko.

Chyba poczekam jeszcze na dodatkowe info bo Norton bardzo mi pasuje zarówno na w10 jak i androida. Bo w sumie nie wiadomo czy faktycznie coś wyciekło a jeśli tak to co.

Bo co innego się włamać a co innego wykraść faktycznie dane krytyczne.

Dodane przez Adrian Ścibor w odpowiedzi na

Dodaj komentarz