Violate le reti di tre principali società produttrici di antivirus

13/05/2019

botnet data breach Fxmsp

Secondo un rapporto della società di sicurezza informatica AdvIntel di New York, un collettivo di hacker russi, noto come Fxmsp, ha messo in vendita per $ 150.000 il codice sorgente dei software di almeno tre società di antivirus negli Stati Uniti, $ 250.000 l’accesso alle loro reti e $ 300.000 per entrambi. Il gruppo criminale potrebbe anche sfruttare il codice trafugato per eludere i software di sicurezza dei sistemi informatici di molte aziende.

Il gruppo Fxmsp

Fxmsp è un gruppo già noto per le sue attività criminali contro grandi aziende e organizzazioni governative, con un guadagno finora stimato in circa $ 1.000.000. In passato il collettivo avrebbe violato i sistemi Active Directory delle aziende e ottenuto l’accesso dall’esterno tramite connessioni RDP (Remote Desktop Protocol). Fxmsp avrebbe pure sviluppato una botnet contro target di alto profilo in grado sottrarre credenziali e dati sensibili. Nell’immagine è mostrato il modello di “breach-selling” dell’organizzazione criminale.

L’attacco alle aziende di sicurezza

A marzo di quest’anno il gruppo aveva ha già annunciato la disponibilità delle informazioni sottratte alle società di antivirus statunitensi e il 5 aprile aveva tentato la vendita dell’accesso ad una rete di una importante catena alberghiera con sedi in Europa, Africa e Sud America. Lo screenshot seguente mostra una vista del codice ottenuto dal reverse enginering di un software ricollegabile ad una società di antivirus statunitense.

L’attività criminale contro le aziende di sicurezza, dietro cui sembrerebbe celarsi un russo residente a Mosca di nome “Andrey“, sarebbe durata circa 6 mesi, periodo che coincide con la loro assenza sui forum underground. Secondo il rapporto di AdvIntel, Fxmsp sarebbe stato in grado di sottrarre alle aziende compromesse ben 30 terabye di dati contenente il codice sorgente di programmi, come antivirus, software di sicurezza, plug-in di sicurezza per i browser web e documentazione sulle attività di sviluppo legate ai nuovi modelli di intelligenza artificiale. Il gruppo criminale avrebbe pure commentato le funzionalità del software delle diverse aziende e valutato la loro efficienza.

Conclusioni

Yelisey Boguslavskiy, direttore di AdvIntel di New York, ha dichiarato che la sua azienda ha immediatamente notificato l’entità del data breach alle forze dell’ordine USA. Sempre in base alle dichiarazioni di Boguslavskiy, il gruppo criminale sarebbe entrato in conflitto con il “proxy seller” che gestiva gli account del forum sul quale veniva commercializzato il materiale illegale. A causa di questi conflitti interni, le comunicazioni del gruppo si stanno spostando sul programma di messaggistica istantanea Jabber.

Per concludere, il gruppo avrebbe in progetto la vendita dei dati verso metà maggio attraverso canali privati e forum. Non resta quindi che attendere gli eventi per capire cosa sia stato realmente trafugato.