Понедельник, 13 Май 2019 18:17

Хакеры взломали трех крупнейших производителей антивирусов из США

Группа русско- и англоговорящих хакеров взломала сети трех крупнейших производителей антивирусов в США и извлекла оттуда исходный код продуктов. Украденные данные и доступ к сетям хакеры готовы продать за $300 тыс.[CNews]

Взлом ИБ-гигантов

Хакерская группировка Fxmsp сообщила, что ей удалось взломать системы трех лидирующих американских производителей антивирусов и похитить коды их антивирусного ПО, а также решений в области искусственного интеллекта и плагинов безопасности. На это обратила внимание компания Advanced Intelligence (AdvIntel), работающая в области информационной безопасности.

Хакеры не раскрыли названия компаний, но опубликовали список специфических индикаторов, с помощью которых можно понять, о ком идет речь. Fxmsp выложила скриншоты папок, в которых содержится 30 терабайт данных, предположительно, похищенных из сетей этих трех вендоров. Судя по всему, в папках находятся документы, освещающие развитие бизнеса, а также модели искусственного интеллекта, софт для обеспечения веб-безопасности и базовый код антивирусного ПО.

Три компании, о которых идет речь, AdvIntel характеризует как «топовые» и «лидирующие» на американском рынке. По версии издания The Software Report по итогам 2018 г. в список крупнейших производителей защитного ПО в США вошли Symantec, FireEye, Fortinet, McAfee, Crowdstrike, Masergy, Palo Alto Networks и др. Не все из них используют собственные антивирусные ядра. Кроме того, одним из крупнейших разработчиков антивирусов в США можно считать Microsoft, которая поставляет для легальных копий Windows бесплатное защитное решение Microsoft Security Essential.

Fxmsp согласны продать похищенные данные вместе с доступом к сетям за $300 тыс. Сам взлом был осуществлен в первом квартале 2019 г., данные были готовы к продаже уже в марте, а в конце апреля группа сообщила, что имеет доступ к сетям всех трех компаний. Fxmsp отмечает, что заинтересовалась кражей данных у производителей антивирусов примерно полгода назад. Группа сфокусировалась на этом проекте, как на основном. AdvIntel пишет, что в последние полгода группировка не публиковала ничего на подпольных форумах, где обычно освещает свою деятельность — молчание продлилось с октября 2018 г. по апрель 2019 г.

Что известно о Fxmsp

Fxmsp состоит, предположительно, из высококвалифицированных русско- и англоговорящих киберпреступников, сообщает AdvIntel. Группировка специализируется на взломе сетей с высокой степенью защиты с целью получения доступа к конфиденциальным корпоративным и правительственным данным. Fxmsp создала себе репутацию и заработала около $1 млн, торгуя такими данными.

AdvIntel сообщает, что один из участников группировки, предположительно, является резидентом Москвы, а зовут его Андрей. По имеющимся данным, он начал киберпреступную карьеру в середине 2000-х гг. и специализируется на социальной инженерии.

Хакеры опубликовали скриншоты, свидетельствующие, что в их руках находится исходный код антивирусов

Группировка начала работу в 2017 г. На протяжении 2017 и 2018 гг. Fxmsp сформировала сеть доверенных прокси-реселлеров, через которых распространяет информацию о своих достижениях в криминальном подполье. Частью тактики Fxmsp является то, что хакеры включают доступ к сетевым средам через внешние серверы протокола удаленного рабочего стола (RDP) и открытый активный каталог.

Недавно группировка сообщила, что разработала ботнет для кражи учетных данных, способный заражать высокозащищенные сети с целью извлечения конфиденциальных имен пользователей и паролей. Fxmsp утверждает, что разработка этой бот-сети и улучшение ее возможностей в области кражи информации из защищенных систем сейчас является главным приоритетом группы.

Крупные российские хакеры

Это не единственный случай, когда хакер, действующий на международном уровне, оказался резидентом России. Например, в марте 2019 г. в Новокузнецке был задержан хакер-наемник, администрировавший для различных преступных группировок ботнеты как минимум на 50 тыс. компьютеров. Задержанный действовал по модели cybercrime-as-a-service — он предлагал свои услуги на форумах, не зная о заказчиках ничего, кроме псевдонимов.

На след наемника удалось выйти в ходе расследования инцидента с трояном Pony Formgrabber, который имел место весной 2018 г. Данный троян используется для кражи учетных записей. С его помощью администратор из Новокузнецка сумел заразить порядка 1 тыс. ПК российских и иностранных пользователей, получив при этом доступ к их почте. Созданная таким образом ботсеть проработала с осени 2017 г. до августа 2018 г. С ее помощью хакер похищал с устройств логины, пароли и другие персональные данные.

В Group-IB отмечают, что Pony Formgrabber — это тот самый троян, который использовала группировка Toplel для атак на клиентов российских банков в 2014-2015 гг. и в 2017 г. Этот же троян, наряду с другими программами, был использован для компрометации 40 тыс. аккаунтов крупных государственных ресурсов в 30 странах мира.

В последнее время новокузнецкий наемник занялся тестированием вредоносного ПО под ОС Android, в том числе мобильного трояна LokiBot. Это связано с тем, что мобильные трояны в мире киберпреступности начали приобретать большую популярность, чем трояны для ПК.

Заявка на участие в тренинге
Личные данные

ФИО (англ.яз)
Неверный ввод

ФИО (рус.яз)
Неверный ввод

ФИО (каз.яз)
Неверный ввод

Дата рождения
Неверный ввод

Пол
Неверный ввод

Адрес

Страна
Неверный ввод

Город
Неверный ввод

Улица, дом, квартира
Неверный ввод

Почтовый индекс
Неверный ввод

Бизнес информация

Область деятельности
Неверный ввод

Место работы
Неверный ввод

Должность
Неверный ввод

Контактные данные

Мобильный телефон
Неверный ввод

Домашний телефон
Неверный ввод

Рабочий телефон
Неверный ввод

Электронная почта
Неверный ввод

Skype
Неверный ввод

Уровень образования на время заполнения заявки:
Неверный ввод

ОБРАЗОВАНИЕ (1)

Учебное заведение
Неверный ввод

Факультет
Неверный ввод

Специальность
Неверный ввод

Дата окончания
Неверный ввод

Номер диплома
Неверный ввод

Ученая степень

Дата получения
Неверный ввод

Степень
Неверный ввод

Название и номер документа, удостоверяющего получение
Неверный ввод