Una investigación ha revelado que hackers rusos están vendiendo el código fuente de diversas soluciones de antivirus. El grupo responsable, llamado Fxmsp, no sólo vende el código fuente, sino que también ofrece acceso a las redes de las compañías a cambio de 300.000 dólares ofreciendo incluso muestras para demostrar que el “servicio” es real.
El grupo ha logrado conseguir información crucial de cada AV (Antivirus) como código fuente, modelos de inteligencia artificial para la detección de amenazas, paneles de usuario, software de seguridad web, entre otras utilidades de seguridad.
Fxmsp es un grupo conocido en la Dark Web que se encarga de “vender” acceso a compañías a través de vulnerabilidades, enfocándose en empresas con presencia a nivel mundial y en organizaciones relacionadas con distintos gobiernos. Hasta ahora, para robar datos y obtener acceso buscaban explotar el acceso a escritorio remoto a través de Internet y directorios activos en los servidores. También, han logrado crear una botnet que recopila nombres de usuarios y contraseñas, con el fin de utilizarlas para intentar hackear sistemas.
La última gran hazaña en su historial criminal, afecta a tres grandes antivirus de Estados Unidos, donde el grupo ha conseguido acceso a su código fuente, a sus herramientas de analítica basadas en machine learning, y extensiones utilizadas en navegadores web. Información recientemente actualizada, señala que los grandes proveedores afectados del rubro son Symantec, McAfee y Trend Micro.
Aunque en el caso de las dos primeras compañías es prácticamente confirmado que han sido afectadas, pero la tercera, Trend Micro no cuenta con sede en Estados Unidos. Esto deja abierta la posibilidad de una potencial tercera o cuarta empresa afectada, la cual podría ser Comodo Group o Check Point, creadores de Comodo y ZoneAlarm, respectivamente. Casualmente, el día 10 de Mayo las acciones de Symantec se desplomaron por una mala perspectiva de ingresos, sumado a ello, el CEO desmintió cualquier acusación de este tipo.
En total afirman que hay unos 30 TB de datos en poder de los hackers. Fxmsp habría cambiado hace unos meses sus objetivos, y estaría centrado ahora en hackear a compañías de antivirus. Esto explica el hecho del porque, el grupo haya estado inactivo durante los últimos seis meses en los foros en los que normalmente publican y venden su contenido.
El FBI se encuentra investigando el suceso. Un experto a cargo de la investigación, afirma que una de las marcas de antivirus ha reconocido la existencia del incidente, aunque no han desvelado el nombre. Symantec niega haberse visto afectada, mientras que Trend Micro ha confirmado que hubo un acceso no autorizado a su red. McAfee, por su parte, afirma que todavía está investigando el suceso.
REFERENCIA
COMENTARIOS