Fabricantes de antivírus teriam sido hackeadas e exposto seus códigos

Fabricantes de antivírus teriam sido hackeadas e exposto seus códigos. A Symantec, Trend Micro e McAfee estão na lista das principais empresas de antivírus que um grupo de hackers de língua russa alegam ter comprometido, mas ainda não está claro até que ponto a afirmação é verdadeira.

No início de maio, a Advanced Intelligence (AdvIntel), uma firma de pesquisa de ameaças sediada em Nova York, informou que um grupo de hackers estava tentando vender documentos corporativos internos e código fonte supostamente roubado de três grandes empresas de antivírus. Citando uma investigação de aplicação da lei em andamento e suas próprias políticas de divulgação, a AdvIntel não revelou os nomes das supostas vítimas.

Reportagem do Gizmodo cita as três fabricantes de antívirus Symantec, Tren Micro e McAfee como possíveis afetadas pelo hack.

FXMSP

Os hackers, conhecidos como “Fxmsp”, estariam se oferecendo para vender os dados roubados – cerca de 30 terabytes – por mais de US $ 300.000. 

O Fxmsp é um gruo de hackers que opera em várias comunidades clandestinas de língua russa e inglesa de alto nível desde 2017. Eles são conhecidos por segmentar redes corporativas e governamentais em todo o mundo.

Ao longo de 2017 e 2018, a Fxmsp estabeleceu uma rede de revendedores de proxy confiáveis para promover suas violações no submundo do crime. Alguns dos Txs Fxmsp conhecidos incluem o acesso a ambientes de rede por meio de servidores RDP (Remote Desktop Protocol) disponíveis externamente e o diretório ativo exposto. Mais recentemente, o ator afirmou ter desenvolvido um botnet de roubo de credenciais capaz de infectar alvos de alto perfil a fim de exfiltrar nomes de usuários e senhas sensíveis. A Fxmsp alegou que o desenvolvimento desse botnet e o aprimoramento de suas capacidades para roubar informações de sistemas protegidos é seu principal objetivo.

Fonte AdvIntel

Em 24 de abril de 2019, Fxmsp afirmou ter garantido o acesso a três empresas líderes em antivírus. De acordo com o grupo de hackers, eles trabalharam incansavelmente no primeiro trimestre de 2019 para violar essas empresas e finalmente conseguiram e obtiveram acesso às redes internas das empresas. O grupo extraiu códigos-fonte sensíveis de software antivírus, inteligência artificial e plugins de segurança pertencentes às três empresas. A Fxmsp também comentou sobre as capacidades do software das diferentes empresas e avaliou sua eficiência.

O grupo forneceu uma lista de indicadores específicos por meio dos quais é possível identificar a empresa mesmo quando um vendedor não está divulgando seu nome. O Fxmsp oferecia imagens de pastas contendo 30 terabytes de dados, que supostamente extraíam dessas redes. As pastas parecem conter informações sobre a documentação de desenvolvimento da empresa, modelo de inteligência artificial, software de segurança da Web e código base do software antivírus.

Fonte AdvIntel

A segmentação de empresas antivírus parece ter sido o principal objetivo das mais recentes intrusões de rede da Fxmps. O ator afirmou que a pesquisa sobre violação de antivírus tem sido seu principal projeto nos últimos seis meses, o que se correlaciona diretamente com o período de seis meses durante o qual eles permaneceram em silêncio nos fóruns clandestinos onde normalmente postam. Esse período começou com o aparente desaparecimento em outubro de 2018 e foi concluído com o retorno em abril de 2019.

Symantec

A Symantec, fabricante do software Norton Antivirus, confirmou que foi contatada na semana passada com pesquisadores da AdvIntel, que descobriram que a Symantec estava na lista de supostas vítimas. A Symantec disse ao Gizmodo que está ciente da alegação, mas não acredita que haja motivos para seus clientes se preocuparem. “Não há indicação de que a Symantec tenha sido afetada por este incidente“, disse a empresa.

A AdvIntel disse ao Gizmodo que compartilhava a confiança na autoavaliação da Symantec. “Embora a Fxmsp tenha alegado que a empresa está nessa lista de vítimas, eles não forneceram evidências suficientes para apoiar essa alegação“, afirmou.

Anteriormente, a AdvIntel disse acreditar que a Fxmsp era uma “ameaça crível” e disse que o grupo arrecadou perto de US $ 1 milhão já vendendo dados roubados em “violações corporativas verificáveis“.

A Symantec inicialmente negou ter sido contatada pela AdvIntel quando foi alcançada pela primeira vez pelo Gizmodo. Yelisey Boguslavskiy, diretor de pesquisa da AdvIntel, disse que entrou em contato com a Symantec pela primeira vez em 8 de maio através de um parceiro e realizou duas chamadas de correção para a empresa em 9 e 10 de maio.

Trend Micro

Enquanto isso, a empresa de software de segurança Trend Micro disse ao Gizmodo que os dados vinculados a um de seus laboratórios de testes foram acessados ​​sem autorização. Ele rotulou o incidente como “baixo risco”, no entanto, e disse que nem os dados do cliente nem qualquer código-fonte foram acessados ​​ou exfiltrados indevidamente.

Boguslavskiy discordou do comunicado da Trend Micro, dizendo que ele estava “incorreto com base na porção dos dados que temos e na declaração do ator“.

A Trend Micro disse que sua investigação sobre o assunto ainda está em andamento e que está trabalhando de perto com a agentes da lei, mas que “compartilha de forma transparente o que aprendemos“. A empresa informou que fornecerá atualizações à medida que a investigação avança.

McAfee

Um porta-voz da McAfee, fabricante do McAfee VirusScan, não confirmou imediatamente se a empresa havia sido contatada sobre uma possível violação. A empresa está investigando o assunto, disse o porta-voz, acrescentando: “Tomamos as medidas necessárias para monitorar e investigar.”

As capturas de tela oferecidas como prova pelo Fxmsp parecem mostrar documentação de desenvolvimento roubada, um modelo de inteligência artificial e código base de software antivírus, de acordo com a AdvIntel. Seus pesquisadores disseram que conhecem o grupo tanto nos círculos de língua russa quanto inglesa.

Recomendações e Possível Mitigação

A AdvIntel recomenda:

• A monitoração e a revisão do perímetro de rede para qualquer servidor RDP (Remote Desktop Protocol) exposto externamente e o Active Directory (AD) podem reduzir a exposição aos dois vetores de ataque iniciais conhecidos.
• O uso de patches robustos e higiene de segurança, bem como o monitoramento de mensagens de e-mail spearphishing, podem ajudar a identificar os primeiros avisos vinculados ao ambiente de vetor de ataque mais recente do Fxmsp.
• Segregar e proteger ambientes de desenvolvimento de código-fonte sensíveis a partir do acesso à rede principal pode frustrar as tentativas de exfiltrar propriedade intelectual da rede.

Fonte: Gizmodo & AdvIntel

Veja também:

• CrowdStrike aterriza no Brasil com o melhor Next Generation AV do mercado!
• CrowdStrike expande presença internacional para atender à crescente demanda do cliente 
• EUA declara Emergência Nacional e fecha as portas para a Huawei
• Site da Associação Brasileira para Desenvolvimento de Atividades Nucleares (Abdan) foi hackeada
• Nova falha em processadores Intel permite acesso a dados sensíveis dos usuários
• Vulnerabilidade do WhatsApp expõe 1,5 bilhão de telefones
• Reconsidere o uso de câmeras WiFi em áreas sensíveis
• Marco Civil da Internet completou 5 anos e pouco mudou até agora
• Falhas no SupportAssist da DELL permite controle remoto da máquina
• DevSecOps: Desenvolvimento rápido sem sacrificar a segurança
• Israel Neutraliza o Ataque Cibernético Explodindo um Edifício com Hackers
• Falha no software da SAP coloca em risco milhares de empresas
• Vazam dados financeiros da Oracle, Airbus, Toshiba e Volkswagen após ataque
• Cisco adverte sobre falha crítica no Nexus 9000 e outros equipamentos