„Symantec, Trend Micro i McAfee zaatakowane przez hackerów”

14 maja, 2019

Wczoraj informowaliśmy o istotnym doniesieniu prasowym bezpośrednio dotyczącym branży, która jest w naszym kręgu zainteresowań. Dowiedzieliśmy się, że wykradziono kody antywirusów trzech dużych amerykańskich firm. Dzisiaj wiemy na pewno, że ugrupowanie cyberprzestępcze Fxmsp zaatakowało firmę Trend Micro, a także prawdopodobnie producentów Symantec oraz McAfee.

Według raportu udało się ukraść kody źródłowe programów antywirusowych, kody maszynowego uczenia do wykrywania złośliwego oprogramowania oraz wtyczki do przeglądarek internetowych. Ugrupowanie Fxmsp za dowód podaje trzy zrzuty ekranów folderów zawierających 30 terabajtów danych, które rzekomo zostały skradzione z sieci firm z branży bezpieczeństwa. Foldery mogą zawierać dokumentację oprogramowania, informacje na temat modelu maszynowego uczenia, a także wspominane kody źródłowe.

Nie ma jednoznacznych dowodów, że przedsiębiorstwa Symantec i McAfee zostały skompromitowane. W oficjalnych oświadczeniach obie firmy zaprzeczają i dają do zrozumienia, że brak jest wystarczających dowodów (przedstawionych przez firmę AdvIntel) na włamanie do sieci czołowych producentów zabezpieczeń.

Rzecznik firmy Trend Micro spokojnie skomentował incydent, mówiąc, że prowadzą dochodzenie w tej sprawie i współpracują z policją. Potwierdził, że nieautoryzowany dostęp uzyskano do jednej z sieci laboratorium testowego. Hakerzy uzyskali pewne informacje związanie z logami debugowania produktu. Zaatakowaną część sieci poddano kwarantannie. Więcej informacji nie udzielono.

Firma Symantec skomentowała to tak, że nie ma wystarczających dowodów na poparcie raportu ujawniającego włamanie. Firma AvdIntel nawiązała kontakt z Symantec, ale nie przedstawiono dowodów na poparcie zarzutu. Jedynym argumentem są jak na razie słowa jednego z członków grupy hakerów. Przestępca w czacie z przedstawicielem AdvIntel wymienia z nazwy trzy firmy: Symantec, Trend Micro i McAfee:

Włamanie do firm antywirusowych Symantec, Trend Micro, McAfee

(1:26:03) uwerty5411(@exploit.im: I already have outcomes
(1:26:23)
plz? same price?
                    : can throw a screen,
(1:27:17) [email protected]: there are 350 developments of the company, antivirus, kernels, artificial intelligence, web protection, panels, everything that a company has, even those developments that only large corporations
(1:27:26)
                    : Okay, you can without
                    screenshots, this is too much
((1:27:29) [email protected]: the same price
((1:28:07) [email protected]: screenshots are meaningless, but I can show through AnyDesq
(17:29:27) fxmsp: if 100-200 then McAfee
(17:29:36) fxmsp: if 50-100 the Norton
(17:29:44) fxmsp: if 300-350 the trend
                    developments?
(17:30:09) fxmsp: number of files
(17:30:37) fxmsp: sorts of concept extensible
((17:31:22) fxmsp: each antivirus has its own development on past antiviruses, there is are web building versions, there are all sorts of utilities, such as a TeamViewer
(17:31:49) fxmsp: there are antiviri under POS terminals
(17:31:58) fxmsp: mail them a crapload of antivirals each

AdvIntel twierdzi jednak, że mają wystarczające dowody i wymieniają:

  • Dzienniki czatu z przestępcą, które zawierają trzy nazwy firm (McAfee, Symantec i Trend Micro).
  • Materiały wideo dostarczone przez przestępców.
  • Próbki kodu źródłowego od co najmniej jednego ze zhackowanych producentów.

Firma McAfee jeszcze nie skomentowała rzekomych doniesień o cyberataku na ich infrastrukturę sieciową.

Z dużym prawdopodobieństwem można określić wektor ataku. Wykorzystano ataki na protokół RDP do komputerów zawierających istotne informacje. Podobno ugrupowanie hakerów opracowało złośliwe oprogramowanie kradnące dane uwierzytelniające i wykorzystało je przeciwko wybranym celom.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
5 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]