Несколько дней назад стало известно, что русскоязычные хакеры из группировки Fxmsp взломали трёх американских производителей антивирусного обеспечения, а теперь продают исходный код антивирусных программ и доступ в локальные сети.

Сначала было неизвестно, кто конкретно стал жертвой. Группа Fxmsp не делала публичного объявления, а собиралась приватно предлагать «товар» заинтересованным лицам.

В принципе, можно было сразу догадаться, кто стал жертвой хакерской операции. Из опубликованной переписки стало известно, что это ведущие антивирусные компании Symantec, Trend Micro и McAfee.

9 мая специалисты по безопасности из компании Advanced Intelligence (AdvIntel) опубликовали отчёт о действиях хакерской группировки Fxmsp, которая выставила на продажу исходный код трёх антивирусных продуктов. Исходники включают в себя:

  • код антивирусных агентов;
  • модули аналитики, основанные на машинном обучении;
  • «плагины безопасности» для браузеров.

Fxmsp — хакерский коллектив, работающий в различных русско- и англоязычных подпольных сообществах с 2017 года. Они атакуют корпоративные и правительственные сети по всему миру, пишет AdvIntel. Например, 5 апреля 2018 года они выставили на продажу доступ к скомпрометированной сети отелей Marriott/Starwood.

24 апреля 2019 года Fxmsp заявила, что у неё есть доступ в защищённые сети трёх ведущих американских антивирусных компаний. По заявлению хакерской группы, они неустанно работали в течение первого квартала 2019 года, чтобы взломать эти компании и, наконец, преуспели, получив доступ к их внутренним сетям. Коллектив скопировал из внутренних сетей перечисленные компоненты антивирусного программного обеспечения: код антивирусных агентов, модули аналитики, «плагины безопасности» для браузеров. Сейчас исходный код и сетевой доступ к компаниям продаётся за $300 тыс.

Вчера специалисты AdvIntel дополнили свой отчёт и опубликовали скриншоты из чатов с участием хакеров Fxmsp.



AdvIntel заявляет, что в её распоряжении есть полные логи чатов с участием Fxmsp, видеозапись (!) активности хакера (видеокаст с промежуточного хоп-сервера, через который прокачивают гигабайты файлов с сервера антивирусной компании, с метками времени, комментариями хакера и просмотром на экране реальных исходников), а также полные исходные коды продуктов одной из пострадавших компаний.

Директор AdvIntel Елисей Богуславский не говорит, откуда у него такая информация.





По словам известного хакера ShadowRunTeam, который сейчас работает на Telegram, за группой Fxmsp стоит житель Москвы по имени Андрей, который начал заниматься киберпреступностью в середине 2000 года и специализируется на социальной инженерии.







AdvIntel ссылается на других экспертов, которые «с большой уверенностью оценивают, что Fxmsp является надёжным хакерским коллективом, который имеет историю продажи поддающихся проверке корпоративных взломов, на которых они заработали около $1 млн».

Елисей Богуславский уже предупредил правоохранительные органы США относительно предполагаемых взломов, а также связался с тремя пострадавшими антивирусными компаниями: Symantec, Trend Micro и McAfee.

Symantec сначала отрицала, что с ней кто-то связывался, но затем прислала обновлённое заявление: «Symantec известно о недавних заявлениях о том, что ряд американских антивирусных компаний были взломаны. Мы контактировали с исследователями AdvIntel, которые подтвердили, что Symantec (Norton) не затронут. Мы не считаем, что у наших клиентов есть основания для беспокойства».

AdvIntel подтвердила, что для 100% гарантии проникновения в сеть Symantec действительно требуется больше доказательств. Сейчас есть основания верить Symantec.

Представитель Trend Micro прислал официальный ответ: «У нас идёт активное расследование, связанное с недавними заявлениями, и пока оно не завершено, мы хотим поделиться тем, что узнали. Тесно сотрудничая с правоохранительными органами, это расследование ведут наши группы по глобальным угрозам и компьютерной экспертизе. На данный момент мы знаем, что третья сторона получила несанкционированный доступ к сети одной тестовой лаборатории и получила некоторую отладочную информацию, не имеющую особой важности. Мы приближаемся к завершению расследования, и пока не обнаружили признаков утечки данных клиентов, исходного кода или эксфильтрации. Немедленно были приняты меры по карантину лаборатории и дополнительной защите всех соответствующих окружений. Из-за активного характера расследования мы не в состоянии делиться какой-либо дополнительной информацией, но мы предоставим её, когда она станет доступна и может быть раскрыта».

По словам Богуславского, заявление Trend Micro неверно. «Что касается отчёта Trend Micro об исходных кодах, мы можем предоставить доказательства фактических файлов (более 100 МБ sym-файлов), к которым хакер имел доступ, с более чем 30 ТБ исходного кода всего в TrendMicro», — сказал исследователь.

Компания McAfee пока не прислала ответ на запрос AdvIntel.

Комментарии (15)


  1. sir_Maverick
    15.05.2019 00:37
    +1

    Ясный перец, что они не скажут «Да, нас взломали. Продолжайте покупать наш антивирус.»


  1. KonstantinSpb
    15.05.2019 00:50
    +2

    30 ТБ исходного кода?
    Что там может быть на 30Тб кода, решение «общего вопроса Вселенной и вообще»?


    1. UnrealQW
      15.05.2019 01:08

      По-видимому, записи журнала всех изменений начиная аж с 1988 года.


    1. karl93rus
      15.05.2019 07:50

      node_modules же ))


  1. willyd
    15.05.2019 01:19

    "наши группы по исследованию глобальных угроз и судебно-медицинской экспертизе ведут это расследование"
    Там кого-то убили?


    1. MotoDruG
      15.05.2019 09:42

      админа, настроившего удалённый доступ о_О


  1. Alexsandr_SE
    15.05.2019 06:10
    +1

    Стадия 1 — отрицание. Ждём дальше.


  1. bogolt
    15.05.2019 09:33

    > без смысленно
    > по мимо
    интересно а может уровень языковой грамотности как-то коррелировать с грамотностью технической?
    Я к чему спрашиваю, мне казалось что в программисты обычно идут люди любящие читать, и как следствие некие определенные слова просто не смогут написать неправильно.


    1. Naves
      15.05.2019 09:42

      За 10 лет в интернете такой чуши начитаешься, что уже забываешь как грамотно писать. Немного помогает чтение художественной литературы, но и в современных произведениях качество неуклонно падает.


    1. prospero78su
      15.05.2019 10:13

      Ну, допустим у меня, тоже появились определённого рода сомнения.
      Не претендую на звание взломщика антивирусных компаний, но имхо, чтобы такие вещи делать, надо иметь как минимум уровень кандидата наук. Сомневаюсь, что кандидаты так плохо владеют русским языком.
      Даже если у меня случаются очепятки (а они случаются постоянно, так как быстро чепятаю), то перед отправкой всегда глазами проверяю на наличие очепяток. А тут — откровенные орфографические ошибки. Для меня — это показатель незрелости собеседника и плохого воспитания. Такие манеры бизнесу не способствуют (легальному или не легальному, имхо, без разницы).


      1. MotoDruG
        15.05.2019 19:09

        а может это смена «почерка»? с некоторой вероятностью человека можно вычислить по стилю письма, здесь он «кулхацкер» и «не егэ же тут здаю», а в мирной жизни знает где и запятые правильно рассыпать.


        1. prospero78su
          16.05.2019 08:24

          Есть такая вероятность. Но не думаю, что эти товарищи на столько умны и обладают навыками агентов разведок. Даже агенты разведок сыпятся, а тут просто jabber (лучше чем telegram, но посмотрите на имя сервера — одно название говорит «ну возьми меня!»). Грамотные товарищи не станут кичиться своей принадлежностью к обсуждаемой теме.


    1. roscomtheend
      15.05.2019 10:37

      Это гуманитарий, PR-менеджер группы.</тупаяшутка> Или сам хакер исповедует религию "образование не нужно, годы в институте потеряны зря, всё можно выучить по книжкам и ютубу", которых и на хабре достаточно (от местных т[ь]ся глаза вытекают, причём, зачастую это не описки).
      PS. С пунктуацией у самого беда, а PVS ещё не сделали статического анализатора русского языка.


    1. olegshutov
      16.05.2019 05:42

      Все вирусописатели неграмотные, их только так и можно вычислить. Я изучал как-то их сообщения — они не специально так пишут, они реально не знают, как


    1. lostpassword
      17.05.2019 10:39

      может уровень языковой грамотности как-то коррелировать с грамотностью технической
      Может. И мне кажется, что корреляция будет обратной.