Wczoraj informowaliśmy o istotnym doniesieniu prasowym bezpośrednio dotyczącym branży, która jest w naszym kręgu zainteresowań. Dowiedzieliśmy się, że wykradziono kody antywirusów trzech dużych amerykańskich firm. Dzisiaj wiemy na pewno, że ugrupowanie cyberprzestępcze Fxmsp zaatakowało firmę Trend Micro, a także prawdopodobnie producentów Symantec oraz McAfee.

Według raportu udało się ukraść kody źródłowe programów antywirusowych, kody maszynowego uczenia do wykrywania złośliwego oprogramowania oraz wtyczki do przeglądarek internetowych. Ugrupowanie Fxmsp za dowód podaje trzy zrzuty ekranów folderów zawierających 30 terabajtów danych, które rzekomo zostały skradzione z sieci firm z branży bezpieczeństwa. Foldery mogą zawierać dokumentację oprogramowania, informacje na temat modelu maszynowego uczenia, a także wspominane kody źródłowe.

Nie ma jednoznacznych dowodów, że przedsiębiorstwa Symantec i McAfee zostały skompromitowane. W oficjalnych oświadczeniach obie firmy zaprzeczają i dają do zrozumienia, że brak jest wystarczających dowodów (przedstawionych przez firmę AdvIntel) na włamanie do sieci czołowych producentów zabezpieczeń.

Rzecznik firmy Trend Micro spokojnie skomentował incydent, mówiąc, że prowadzą dochodzenie w tej sprawie i współpracują z policją. Potwierdził, że nieautoryzowany dostęp uzyskano do jednej z sieci laboratorium testowego. Hakerzy uzyskali pewne informacje związanie z logami debugowania produktu. Zaatakowaną część sieci poddano kwarantannie. Więcej informacji nie udzielono.

Firma Symantec skomentowała to tak, że nie ma wystarczających dowodów na poparcie raportu ujawniającego włamanie. Firma AvdIntel nawiązała kontakt z Symantec, ale nie przedstawiono dowodów na poparcie zarzutu. Jedynym argumentem są jak na razie słowa jednego z członków grupy hakerów. Przestępca w czacie z przedstawicielem AdvIntel wymienia z nazwy trzy firmy: Symantec, Trend Micro i McAfee:

Włamanie do firm antywirusowych Symantec, Trend Micro, McAfee
Źródło: https://www.bleepingcomputer.com/news/security/fxmsp-chat-logs-reveal-the-hacked-antivirus-vendors-avs-respond

(1:26:03) uwerty5411(@exploit.im: I already have outcomes
(1:26:23)
plz? same price?
                    : can throw a screen,
(1:27:17) [email protected]: there are 350 developments of the company, antivirus, kernels, artificial intelligence, web protection, panels, everything that a company has, even those developments that only large corporations
(1:27:26)
                    : Okay, you can without
                    screenshots, this is too much
((1:27:29) [email protected]: the same price
((1:28:07) [email protected]: screenshots are meaningless, but I can show through AnyDesq
(17:29:27) fxmsp: if 100-200 then McAfee
(17:29:36) fxmsp: if 50-100 the Norton
(17:29:44) fxmsp: if 300-350 the trend
                    developments?
(17:30:09) fxmsp: number of files
(17:30:37) fxmsp: sorts of concept extensible
((17:31:22) fxmsp: each antivirus has its own development on past antiviruses, there is are web building versions, there are all sorts of utilities, such as a TeamViewer
(17:31:49) fxmsp: there are antiviri under POS terminals
(17:31:58) fxmsp: mail them a crapload of antivirals each

AdvIntel twierdzi jednak, że mają wystarczające dowody i wymieniają:

  • Dzienniki czatu z przestępcą, które zawierają trzy nazwy firm (McAfee, Symantec i Trend Micro).
  • Materiały wideo dostarczone przez przestępców.
  • Próbki kodu źródłowego od co najmniej jednego ze zhackowanych producentów.

Firma McAfee jeszcze nie skomentowała rzekomych doniesień o cyberataku na ich infrastrukturę sieciową.

Z dużym prawdopodobieństwem można określić wektor ataku. Wykorzystano ataki na protokół RDP do komputerów zawierających istotne informacje. Podobno ugrupowanie hakerów opracowało złośliwe oprogramowanie kradnące dane uwierzytelniające i wykorzystało je przeciwko wybranym celom.

AUTOR:

Adrian Ścibor

Podziel się

Komentarze

Dan wt., 14-05-2019 - 19:19

Przy poprzednim arcie i informacji o wykradzeniu danych amerykańskich producentów oraz sugestii profilaktycznego odinstalowania wszystkiego co amerykańskie, już pobierałem deinstalator COMODO. A tu niespodzianka. Nie tym razem ;-)

Dodaj komentarz