Des chercheurs révèlent que des pirates informatiques ont violé trois éditeurs américains

Dans un rapport publié jeudi, des chercheurs de la société de recherche sur les menaces Advanced Intelligence (AdvIntel) ont révélé qu'un groupe de pirates informatiques russes et anglais commercialisait activement le gâchis de violations de données chez trois fournisseurs de logiciels antivirus basés aux États-Unis. Le collectif, qui s'appelle lui-même «Fxmsp», vend 300 000 USD de code source et d'accès réseau aux entreprises, et fournit des échantillons qui démontrent clairement le bien-fondé de ses revendications.

Yelisey Boguslavskiy, directrice de la recherche chez AdvIntel, a déclaré à Ars que sa société avait informé «les entités victimes potentielles» de la violation par le biais d'organisations partenaires; il a également fourni les détails aux forces de l'ordre américaines. En mars, Fxmsp a proposé les données "par le biais d'une conversation privée", a déclaré Boguslavskiy. "Cependant, ils ont affirmé que leurs vendeurs de procurations annonceraient la vente sur les forums."

Fxmsp a une réputation bien connue dans la communauté de la sécurité pour la vente de l'accès aux violations, se concentrant sur les grandes entreprises mondiales et les organisations gouvernementales. Le groupe a été distingué dans un rapport FireEye de 2018 sur la criminalité sur Internet pour avoir vendu l'accès à des réseaux d'entreprise dans le monde entier, y compris une brèche mondiale d'un groupe d'hôtels de luxe potentiellement liée à la brèche Marriott / Starwood révélée en novembre dernier. Les chercheurs d’AdvIntel affirment que le groupe a vendu «des violations vérifiables de l’entreprise», générant des bénéfices de près d’un million de dollars. Au cours des deux dernières années, Fxmsp a travaillé à la création d’un réseau de revendeurs de procurations afin de promouvoir et de vendre l’accès à la collection de violations du groupe sur les marchés criminels.

En mars, le groupe "a déclaré qu'il pouvait fournir des informations exclusives volées à trois des plus grandes entreprises d'antivirus situées aux États-Unis", ont rapporté les chercheurs d'AdvIntel dans un blog publié aujourd'hui. "Ils ont confirmé disposer d'un code source exclusif lié au développement logiciel des sociétés." Et le groupe s'est proposé à titre privé de vendre le code source et l'accès réseau aux trois sociétés pour "plus de 300 000 $", ont déclaré les chercheurs.

Selon le rapport AdvIntel, Fxmsp avait réussi à voler du code source comprenant du code pour les agents antivirus, un code analytique basé sur l'apprentissage automatique et des «plug-ins de sécurité» pour les navigateurs Web. «Fxmsp a également commenté les capacités des logiciels des différentes sociétés et évalué leur efficacité», ont écrit les chercheurs.

Dans le passé, les violations de Fxmsp étaient généralement axées sur l'exploitation du protocole RDP (Internet Remote Desktop Protocol) et des serveurs Active Directory. Mais plus récemment, le groupe a prétendu avoir mis au point un programme malveillant contenant des noms d'utilisateur et des mots de passe pour voler des données d'identification afin de cibler des réseaux de grande valeur mieux sécurisés. «Fxmsp a affirmé que son objectif principal était de développer ce réseau de botnet et d'améliorer ses capacités de voler des informations sur des systèmes sécurisés», ont noté les chercheurs d'AdvIntel.

Mettre à jour:

Boguslavskiy a fourni des détails supplémentaires sur la recherche sur les brèches en réponse aux questions de suivi (et à certains des commentaires sur cette histoire). Il a déclaré qu'AdvIntel avait pour la première fois informé le FBI "par le biais de Cyber ​​Watch et du groupe de travail Cyber ​​de New York".

a déclaré à Ars qu'en octobre 2018, Fxmsp "avait eu un conflit avec leur vendeur de procuration, et que cette relation avait été compromise". Comme le mandataire surveillait les comptes de Fmsp sur les divers forums par lesquels le groupe vendait généralement ses données, Fxmsp a donc déplacé toutes ses communications vers la messagerie instantanée Jabber.

Le 5 mai, M. Boguslavskiy a déclaré: "Fxmsp a déclaré qu'une des deux équipes ayant orchestré l'attaque contre les sociétés audiovisuelles avait compromis un accès [point] en naviguant dans le répertoire client de la victime." Les pirates essaient actuellement de retrouver l'accès. Cela peut avoir perturbé leurs plans initiaux de vente des données.
"Selon eux, ils avaient prévu d'offrir des accès à certaines entreprises à la mi-mai", a déclaré Boguslavskiy, "très probablement en utilisant des forums (toutefois, cela n'est pas confirmé; ils ont utilisé le terme" faire une vente publique "). . " Mais en raison de la compromission d'un point d'accès, a-t-il noté, le groupe envisage maintenant de continuer à faire des offres privées de données, avec la possibilité que des offres pour les autres sociétés puissent apparaître dans des forums plus tard ce mois-ci.