Information Security
Open source
Antivirus protection
Software
May 14

Опубликованы скриншоты jabber-чата с членом хакерской группировки Fxmsp



Несколько дней назад стало известно, что русскоязычные хакеры из группировки Fxmsp взломали трёх американских производителей антивирусного обеспечения, а теперь продают исходный код антивирусных программ и доступ в локальные сети.

Сначала было неизвестно, кто конкретно стал жертвой. Группа Fxmsp не делала публичного объявления, а собиралась приватно предлагать «товар» заинтересованным лицам.

В принципе, можно было сразу догадаться, кто стал жертвой хакерской операции. Из опубликованной переписки стало известно, что это ведущие антивирусные компании Symantec, Trend Micro и McAfee.

9 мая специалисты по безопасности из компании Advanced Intelligence (AdvIntel) опубликовали отчёт о действиях хакерской группировки Fxmsp, которая выставила на продажу исходный код трёх антивирусных продуктов. Исходники включают в себя:

  • код антивирусных агентов;
  • модули аналитики, основанные на машинном обучении;
  • «плагины безопасности» для браузеров.

Fxmsp — хакерский коллектив, работающий в различных русско- и англоязычных подпольных сообществах с 2017 года. Они атакуют корпоративные и правительственные сети по всему миру, пишет AdvIntel. Например, 5 апреля 2018 года они выставили на продажу доступ к скомпрометированной сети отелей Marriott/Starwood.

24 апреля 2019 года Fxmsp заявила, что у неё есть доступ в защищённые сети трёх ведущих американских антивирусных компаний. По заявлению хакерской группы, они неустанно работали в течение первого квартала 2019 года, чтобы взломать эти компании и, наконец, преуспели, получив доступ к их внутренним сетям. Коллектив скопировал из внутренних сетей перечисленные компоненты антивирусного программного обеспечения: код антивирусных агентов, модули аналитики, «плагины безопасности» для браузеров. Сейчас исходный код и сетевой доступ к компаниям продаётся за $300 тыс.

Вчера специалисты AdvIntel дополнили свой отчёт и опубликовали скриншоты из чатов с участием хакеров Fxmsp.



AdvIntel заявляет, что в её распоряжении есть полные логи чатов с участием Fxmsp, видеозапись (!) активности хакера (видеокаст с промежуточного хоп-сервера, через который прокачивают гигабайты файлов с сервера антивирусной компании, с метками времени, комментариями хакера и просмотром на экране реальных исходников), а также полные исходные коды продуктов одной из пострадавших компаний.

Директор AdvIntel Елисей Богуславский не говорит, откуда у него такая информация.





По словам известного хакера ShadowRunTeam, который сейчас работает на Telegram, за группой Fxmsp стоит житель Москвы по имени Андрей, который начал заниматься киберпреступностью в середине 2000 года и специализируется на социальной инженерии.







AdvIntel ссылается на других экспертов, которые «с большой уверенностью оценивают, что Fxmsp является надёжным хакерским коллективом, который имеет историю продажи поддающихся проверке корпоративных взломов, на которых они заработали около $1 млн».

Елисей Богуславский уже предупредил правоохранительные органы США относительно предполагаемых взломов, а также связался с тремя пострадавшими антивирусными компаниями: Symantec, Trend Micro и McAfee.

Symantec сначала отрицала, что с ней кто-то связывался, но затем прислала обновлённое заявление: «Symantec известно о недавних заявлениях о том, что ряд американских антивирусных компаний были взломаны. Мы контактировали с исследователями AdvIntel, которые подтвердили, что Symantec (Norton) не затронут. Мы не считаем, что у наших клиентов есть основания для беспокойства».

AdvIntel подтвердила, что для 100% гарантии проникновения в сеть Symantec действительно требуется больше доказательств. Сейчас есть основания верить Symantec.

Представитель Trend Micro прислал официальный ответ: «У нас идёт активное расследование, связанное с недавними заявлениями, и пока оно не завершено, мы хотим поделиться тем, что узнали. Тесно сотрудничая с правоохранительными органами, это расследование ведут наши группы по глобальным угрозам и компьютерной экспертизе. На данный момент мы знаем, что третья сторона получила несанкционированный доступ к сети одной тестовой лаборатории и получила некоторую отладочную информацию, не имеющую особой важности. Мы приближаемся к завершению расследования, и пока не обнаружили признаков утечки данных клиентов, исходного кода или эксфильтрации. Немедленно были приняты меры по карантину лаборатории и дополнительной защите всех соответствующих окружений. Из-за активного характера расследования мы не в состоянии делиться какой-либо дополнительной информацией, но мы предоставим её, когда она станет доступна и может быть раскрыта».

По словам Богуславского, заявление Trend Micro неверно. «Что касается отчёта Trend Micro об исходных кодах, мы можем предоставить доказательства фактических файлов (более 100 МБ sym-файлов), к которым хакер имел доступ, с более чем 30 ТБ исходного кода всего в TrendMicro», — сказал исследователь.

Компания McAfee пока не прислала ответ на запрос AdvIntel.
+20
8.2k 6
Support the author
Comments 16