据悉,Fxmsp是一个破坏私人企业和政府信息的俄罗斯组织,该组织自2017年开始活跃。据高级专家的说法,过去两年中Fxmsp已经通过黑客企业网络赚取了大约100万美元。而从2019年4月开始,该组织就在网络犯罪论坛上声称他们已经渗透了三家反病毒公司,并从这些公司的反病毒软件、人工智能和安全插件中提取了源代码。
近日,计算机商业评论网站获取了所有这三家涉嫌遭遇黑客入侵的企业名单。趋势科技(Trend Micro)就是其中之一,该公司也在随后回应了我们的评论请求;赛门铁克(Symantec)是第二家遭遇渗透的企业,但其否认了这一说法;迈克菲(McAfee)是第三家公司,但其表示:没有发现McAfee产品、服务或网络受到所述威胁影响的迹象。
在上周发布的一份报告中,威胁情报公司AdvIntel表示,Fxmsp黑客组织在俄罗斯暗网论坛中以30万美元的价格出售其从三家公司处提取的源代码和网络访问权。而根据Fxmsp提供的截图显示,该组织共计拥有30TB的数据。
据悉,该威胁组织的运作方式包括利用外部可用的远程桌面协议(RDP)服务器和公开的活动目录账户来访问网络环境。AdvIntel公司补充称,该组织还声称已经开发出了一种能够感染知名企业并窃取其用户名和密码的僵尸网络。
趋势科技方面的回应
针对此事,趋势科技发言人表示,其公司正在积极调查与最近的 “Fxmsp” 事件相关的问题,虽然调查尚未完成,但其希望能够透明地分享自己所获取到的信息。目前,通过与执法部门密切合作,趋势科技全球威胁研究和取证团队正在领导此项调查,并且已经获得初步成果。
研究发现,未知名的第三方已经对趋势科技单个测试实验室网络进行了未经授权的访问,并获得了一些低风险的调试相关信息。目前,调查项目已经接近尾声,但并没有发现任何客户数据或源代码遭到非法访问或泄露的迹象。
对于已发现的问题,趋势科技方面已经第一时间采取行动隔离了受影响的测试实验室网络,并采取额外的保护措施合理地保护了所有相关的环境。由于调查尚未结束,暂时无法提供有关该事件的完整信息,但趋势科技表示,会透明地分享更多调查结果,并在调查结束后更新完整信息。
趋势科技给出的回应首次证实,这个受到广泛质疑的故事确实具有一定的可信性。其实,无论是 “Fxmsp” 事件的震撼性还是AdvIntel公司的形象(新成立的公司,全无知名度)都让安全专业人士对该信息持怀疑态度。但是,据证实,AdvIntel公司创始人年仅27岁的 Yelisey Boguslavskiy 是在今年3月份从Flashpoint公司离职后才创立了AdvIntel公司,虽然公司资质尚浅,但Boguslavskiy坚信自己的消息来源是可信的。
他承认,如果不花30万美元购买所有这些数据,可能确实很难确定此次泄露事件的规模和影响程度,但他所看到的证据使他确信该违规行为是真实存在的。但是,在一份最新发布的声明中,他承认没有足够的证据证明赛门铁克遭到了黑客入侵。
赛门铁克方面的回应
5月9日,安全厂商赛门铁克发布了该公司截至今年3月29日的2019年第四季财报,同时宣布该公司CEO Greg 某公司已辞职且即刻生效,这使得赛门铁克当天盘后股价下滑14.88%。但是,对于Fxmsp攻击事件,该公司予以了否认,并表示,没有任何迹象表明公司产品、服务和网络受到了影响。
该公司发言人表示,在听闻一些美国反病毒公司遭到黑客组织渗透的消息之后,他们就立刻联系了AdvIntel的研究人员,这些研究人员证实赛门铁克并没有受到影响,所以还请各位用户不必过分担忧。
AdvIntel公司在最新的一份声明中指出,Fxmsp没有提供足够的证据来支持这一指控——赛门铁克遭到黑客攻击。所以,他们高度认同赛门铁克对于风险的评估结果,以及该公司给出的 “用户无需感到担忧” 的回应。
除此之外,Yelisey Boguslavskiy还提供了有关Fxmsp违规行为的更多详细信息,包括他与Fxmsp组织进行沟通的一份截图,以下为翻译信息(原文为俄语):
(01.05.2019 12:04:06) fxmsp:该防病毒(AV)公司故意更改文件扩展名:因此无法立即将文件识别为源代码;
(01.05.2019 12:04:25) fxmsp:我们的专家通过二进制标签确定这些不是调试器;
(01.05.2019 12:04:57)fxmsp:简单地说,扩展名与实际格式不同,所以你需要查看二进制文件和标题;
(01.05.2019 12:06:01)fxmsp:选择一个必要的文件夹 - 检查二进制格式的所有文件 - 查看文件中的标题,根据标题更改扩展名 - 之后,以您需要的格式执行;
(01.05.2019 12:07:03)fxmsp:一家防病毒(AV)公司保留其源代码而没有扩展名,以便混淆任何试图通过扩展来识别源代码的人,这是开发软件的公司的惯常做法;
(01.05.2019 12:07:11)fxmsp:总而言之,自己好好想一想;
Boguslaskiy坚信,分享这种情报符合公众利益,应该可供用于审查流程,以提供可能源于这些违规行为的最新供应链违规和攻击行为。
至于代理卖家,主要为4家最重要的地下黑市运营商:Nikolay、BigPetya、Antony Moricone以及and Lampedusa。
AdvIntel公司发现,Fxmsp卖家最近的活动范围主要集中在俄罗斯中级黑客论坛Omerta上。但是,2019年5月11日,他们忽然删除了所有相关帖子和售价信息。很显然,AdvIntel的公开报道很可能已经破坏了他们的销售网络和论坛运营。
最后,在询问该违规行为的程度时,Boguslaskiy表示,其公司只展示了一部分数据,但犯罪团伙手中似乎握有30TB的数据。至于潜在买家可以利用这些数据做些什么,就要取决于他们在提取源代码方面的技能水平了。而说到该犯罪团体,其通常以防病毒(AV)公司为攻击目标,这样他们就可以让自己的攻击性恶意软件变得更为高效。此外,该黑客组织还将改进僵尸网络作为其主要目标。
来源:安全牛