Firma Advanced Intelligence opublikowała raport dotyczący niedawnej aktywności grupy przestępczej „Fxmsp”, której członkowie posługują się językami rosyjskim i angielskim. Wykradziono około 30 terabajtów danych ze serwerów trzech dużych firm zlokalizowanych na terenie USA z branży antywirusowej. Dostęp do przechwyconych materiałów jest sprzedawany zainteresowanym nabywcom za 300 000 dolarów.
Na podstawie strzępków informacji, które dostarcza Advanced Intelligence, trudno jest ustalić, o których dostawcach technologii zabezpieczających wspomina raport. Pewną sugestią są słowa „Breaches of Three Major Anti-Virus Companies”, a więc prawdopodobnie może chodzić o firmy: Symantec, Webroot, Comodo, Malwarebytes, McAfee, Microsoft, Vipre. Listę można rozszerzyć o dostawców, którzy oferują np. produkty do ochrony sieci, aplikacji, w tym i stacji roboczych: Barracuda, Cisco, CrowdStrike, Cylance, FireEye, Fortinet, Lastline, Palo Alto, SentinelOne. Może też chodzić o dużych producentów, którzy nie pochodzą z USA, ale mają na terenie kraju swoje biura.
Za atakiem na infrastrukturę trzech dużych firm antywirusowych rzekomo stoi przestępcze ugrupowanie o nazwie „Fxmsp”. Według informacji zawartych w raporcie ci hackerzy koncentrują się na atakach na duże organizacje. Specjalizują się w sprzedaży dostępu do sieci skompromitowanych firm na całym świecie. Jako przykład podaje się, że to właśnie ta grupa może stać za atakami na sieć hoteli Marriott i Starwood w zeszłym roku.
Do ataku na trzy firmy z branży antywirusowej prawdopodobnie doszło w marcu 2019 roku albo wcześniej. Wiadomo też, że hackerzy rozpracowywali cele już w pierwszym kwartale 2019 roku.
Skradziono kody źródłowe antywirusów
Według raportu udało się ukraść kody źródłowe agentów antywirusowych, kody maszynowego uczenia do wykrywania złośliwego oprogramowania oraz wtyczki do przeglądarek internetowych. Ugrupowanie Fxmsp za dowód podaje trzy zrzuty folderów zawierających 30 terabajtów danych, które rzekomo zostały skradzione z sieci firm z branży bezpieczeństwa. Foldery mogą zawierać dokumentację oprogramowania, informacje na temat modelu maszynowego uczenia, a także wspominane kody źródłowe.
Nie jest znany wektor ataku, ale na podstawie archiwalnych danych przypuszcza się, że grupa Fxmsp koncentrowała się na atakach na RDP do serwerów z usługą Active Directory. Podobno ugrupowanie opracowało złośliwe oprogramowanie kradnące dane uwierzytelniające i wykorzystało je przeciwko wybranym celom.
Zaleca się, aby firmy posiadające jakąkolwiek własność intelektualną zaczęły monitorować swoje sieci, dane i wdrożyły zabezpieczenia np. segmentację środowiska roboczego.
Najsłabszym ogniwem bezpieczeństwa jest człowiek i prawdopodobnie tutaj należy szukać przyczyny. Podobno jeden z członków grupy hackerów specjalizuje się w socjotechnicznych atakach. Podobno ma też pochodzenie rosyjskie. W obecnej chwili brak jakichkolwiek dowodów w tej sprawie.
Aktualizacja 14 maja 2019
Zaktualizowane informacje zostały opublikowane pod linkiem: https://avlab.pl/symantec-trend-micro-i-mcafee-zaatakowane-przez-hackerow
