Wykradziono kody antywirusów trzech dużych amerykańskich firm

13 maja 2019

Firma Advanced Intelligence opublikowała raport dotyczący niedawnej aktywności grupy przestępczej „Fxmsp”, której członkowie posługują się językami rosyjskim i angielskim. Wykradziono około 30 terabajtów danych ze serwerów trzech dużych firm zlokalizowanych na terenie USA z branży antywirusowej. Dostęp do przechwyconych materiałów jest sprzedawany zainteresowanym nabywcom za 300 000 dolarów.

Na podstawie strzępków informacji, które dostarcza Advanced Intelligence, trudno jest ustalić, o których dostawcach technologii zabezpieczających wspomina raport. Pewną sugestią są słowa „Breaches of Three Major Anti-Virus Companies”, a więc prawdopodobnie może chodzić o firmy: Symantec, Webroot, Comodo, Malwarebytes, McAfee, Microsoft, Vipre. Listę można rozszerzyć o dostawców, którzy oferują np. produkty do ochrony sieci, aplikacji, w tym i stacji roboczych: Barracuda, Cisco, CrowdStrike, Cylance, FireEye, Fortinet, Lastline, Palo Alto, SentinelOne. Może też chodzić o dużych producentów, którzy nie pochodzą z USA, ale mają na terenie kraju swoje biura.

Wyciek kodów antywirusów.

Za atakiem na infrastrukturę trzech dużych firm antywirusowych rzekomo stoi przestępcze ugrupowanie o nazwie „Fxmsp”. Według informacji zawartych w raporcie ci hackerzy koncentrują się na atakach na duże organizacje. Specjalizują się w sprzedaży dostępu do sieci skompromitowanych firm na całym świecie. Jako przykład podaje się, że to właśnie ta grupa może stać za atakami na sieć hoteli Marriott i Starwood w zeszłym roku.

Do ataku na trzy firmy z branży antywirusowej prawdopodobnie doszło w marcu 2019 roku albo wcześniej. Wiadomo też, że hackerzy rozpracowywali cele już w pierwszym kwartale 2019 roku.

Skradziono kody źródłowe antywirusów

Według raportu udało się ukraść kody źródłowe agentów antywirusowych, kody maszynowego uczenia do wykrywania złośliwego oprogramowania oraz wtyczki do przeglądarek internetowych. Ugrupowanie Fxmsp za dowód podaje trzy zrzuty folderów zawierających 30 terabajtów danych, które rzekomo zostały skradzione z sieci firm z branży bezpieczeństwa. Foldery mogą zawierać dokumentację oprogramowania, informacje na temat modelu maszynowego uczenia, a także wspominane kody źródłowe.

Nie jest znany wektor ataku, ale na podstawie archiwalnych danych przypuszcza się, że grupa Fxmsp koncentrowała się na atakach na RDP do serwerów z usługą Active Directory. Podobno ugrupowanie opracowało złośliwe oprogramowanie kradnące dane uwierzytelniające i wykorzystało je przeciwko wybranym celom.

Zaleca się, aby firmy posiadające jakąkolwiek własność intelektualną zaczęły monitorować swoje sieci, dane i wdrożyły zabezpieczenia np. segmentację środowiska roboczego.

Najsłabszym ogniwem bezpieczeństwa jest człowiek i prawdopodobnie tutaj należy szukać przyczyny. Podobno jeden z członków grupy hackerów specjalizuje się w socjotechnicznych atakach. Podobno ma też pochodzenie rosyjskie. W obecnej chwili brak jakichkolwiek dowodów w tej sprawie.

Aktualizacja 14 maja 2019

Zaktualizowane informacje zostały opublikowane pod linkiem: https://avlab.pl/symantec-trend-micro-i-mcafee-zaatakowane-przez-hackerow

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
5 komentarzy
Inline Feedbacks
View all comments
spotify
spotify
1 rok temu

Jak to możliwe? Jak mieć zaufanie do programów antywirusowych, jak producenci tych programów siebie nie umieją chronić?

„Według raportu udało się ukraść kody źródłowe agentów antywirusowych, kody maszynowego uczenia do wykrywania złośliwego oprogramowania oraz wtyczki do przeglądarek internetowych”
Nie znam się na programowaniu. To jest jakiś ogólny kod czy każdy producent AV ma swój autorski?
Ta kradzież tylko dotyczy tych producentów czy to odbije się rykoszetem w innych producentów poza USA?

spotify
spotify
1 rok temu
To jest odpowiedź do  Adrian Ścibor

Windowsa też :)?
To może równie dobrze być jakieś centrum AV z Europy? Z tego co wiem to Eset czy Fsecure mają swoje centra badawcze w USA. A pewnie znajdzie się takich producentów więcej 😉

er4zor
er4zor
1 rok temu

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone

POLECANE PRODUKTY

YUBIKEY

Klucze zabezpieczające

100% ochrony przed phishingiem

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone