Fxmspが盗み出した、セキュリティベンダーの情報の続報 その1

ロシアハッカーグループ Fxmspが 情報を盗み出した、セキュリティソフト企業がほぼ確定?
前回、ハッカーグループが公開したスクショから浮かび上がった企業はトレンドマイクロだったという記事を書きましたが、続報が来ました

Fxmsp Chat Logs Reveal the Hacked Antivirus Vendors, AVs Respond


Fxmsp の チャットのログでハッキングされたウイルス対策ベンダーが明らかに! ウィルス対策ベンダーが回答

先週 ハッカーグループFxmsp が米国にオフィスを持つ3つのアンチウイルス企業のネットワークアクセス権とソースコードの所持を主張しているという報道が発表された。
今週まで、被害となった企業名はデリケートな問題であり、そして当局が事件について警告していたため一般に公開されていなかった。
しかし、被害を受けたウイルス対策ベンダーが、調査結果に矛盾して、所見を軽くみている上、または事件を否定も確認もしないことを表明した声明を発表したため、猫が袋から取り出されることになりました(にゃーん)ミ・ω・ミ

BleepingComputerは、セキュリティ会社AdvIntelから、被害者のうち3社を明言したハッカー集団Fxmspからの連絡を示す独占スクープ的な証拠を入手しました。 AdvIntelはFxmspとその売り手の活動に関する情報を地下のフォーラム(ほとんどがロシア語を話す)で集め、彼らのアクセスと最大30万ドルで売るために宣伝していたデータの量について議論したアクターのインスタントメッセージログを集めました。 以下は、ウイルス対策会社であるSymantec、McAfee、およびTrend Microのさまざまな製品のソースコードファイルに関する会話です。チャットはFxmspメンバー間で行われます。

どうやら、漏えい元の会社が判明したにもかかわらず、それらのセキュリティ企業はしらを切って大したことないと言ってるようですが、通報したセキュリティ企業はハッカーから入手した証拠が示している重大性を認識しており、これらの誠意のない企業の情報を公開することに踏み切ったようです

(1:26:03)uwerty5411@ exploit.im:すでに成果が出ています
(1:26:23)質問者: 同じ値段ですか?画面を見せてもらうことは可能ですか?
(1:27:17)uwerty5411@exploit.im:この会社が開発した350もの成果物があります。ウイルス対策、カーネル、人工知能、Web保護、パネル、この大企業だけが行ったものも含んだ、会社の所有物の全てがあります。
(1:27:26)質問者:スクリーンショットなしで話をしていいです。これはあまりにも多すぎる
(1:27:29)uwerty5411@exploit.im:同じ価格
(1:28:07)uwerty5411@exploit.im:スクリーンショットは意味がありませんが、AnyDesqで見せることができます 
(17:29:27)fxmsp:McAfee の場合は100-200
(17:29:36)fxmsp:ノートンの場合は50-100
(17:29:44)fxmsp:トレンドマイクロの場合は 300-350の 開発成果物があります 
(17:30:09)fxmsp:ファイル数 
(17:30:37)fxmsp:拡張可能な種類の概念 
(17:31:22)fxmsp:各アンチウイルスは過去のアンチウイルスに対して独自の開発を行っています。Web構築バージョンがあり、TeamViewerなどのあらゆる種類のユーティリティがあります。 
(17:31:49)fxmsp:POS端末の下にアンチウィルスがあります 
(17:31:58)fxmsp:それぞれにアンチウイルスのフォルダを小分けにして送信します

要するに、ハッカーに言わせると、トレンドマイクロが開発したものは全て入手したと言う話のようです・ω・

AdvIntelはBleepingComputerに対し、先週の調査結果と報告の発表を裏付ける以下の証拠があると述べた。
(1)ハッカーによって開示されたとおりに侵害された3つ(およびそれ以上)の特定されたすべてのアンチウイルス名をリストした完全なチャットログ。
(2)その行為に関するハッカーの資産からのフルビデオ録画。
(3)ハッカーから入手したアンチウィルスのサンプルソースから少なくとも1つの完全なソースコードが侵害されたのが確認できる。

同社はまた、調査結果を裏付けるためにビデオファイルのプロパティを示すスクリーンショットを送ってきました。
AdvIntelによると、ファイルのタイムスタンプ、ハッカーの解説、ソースコード、そして実際のコードのウォークスルーと共に、ビデオはホップサーバーからのコンテンツと感染したウイルス対策会社からのギガバイトのデータ転送を行っているのを示しました

チャットログだけでなく、ちゃんとした証拠があるようですね

それとは別にFxmspチャットログ BleepingComputerは、Fxmspグループメンバー間で、3社のウイルス対策会社のネットワークへのプレゼンスについての会話のスナップショットを受け取りました。AdvIntelのセキュリティリサーチディレクターであるYelisey Boguslavskiy 氏が、英語への翻訳と一緒にそれらを提供しました。これらのチャットには、トレンドマイクロとマカフィーの名前だけが表示されています。
これがチャットログの翻訳です。

質問者:どの会社なの?
Fxmsp: trendmicro[.]com だよ

Fxmspは、トレンドマイクロのネットワークに侵入して会社からソースコードを盗むことについて、すべて検出を引き起こさずできると話をしました。
以下の会話によると、これは脆弱性を悪用した後で可能になりました。

これがチャットログの翻訳です。

質問者:トレンドマイクロはこの不正侵入について認識していますか?
どのようにしてアクセスしましたか?
TrendMicroはそれについて認識していますか?
Fxmsp:90% 彼らは見当がついてないだろう。
Fmxsp:私たちはそれをひそかに手に入れました
Fmxsp:そう、それらを明確にターゲットにしました
Fxmsp:脆弱性がありました
Fmxsp:彼らは自分たちのソースコードを失ったなんて知らない
Fxmsp:マカフィーも私たちがそれらを手に入れたとは思っていない

ハッカーは、被害者のネットワーク上で見つけた大量のデータについて話します。
これがチャットログの翻訳です。

質問者:開発物は?
Fxmsp:全ファイルです 
Fxmsp:ソースコードは多岐にわたっています。
Fmxsp:すべてのアンチウイルスは、Web版、企業向け版、およびその他のユーティリティなど、TeamViewerのように独自のソフト開発を行っています。
Fmxsp:彼らのPOSウイルス対策もあります。
Fmxsp:メール向けアンチウィルス、彼らは可能なあらゆるタイプを持っています。

グループのメンバーは、被害を受けたウイルス対策会社のネットワーク内を移動する方法と、アラームを鳴らさずに接続する方法について説明します。
これがチャットログの翻訳です。

Fxmsp:[TrendMicroへの]アクセスはローカルの企業ネットワークへのアクセスです Fxmsp:あなたは彼らのネットワーク環境で自由なアクセスを所持することができます。
Fxmsp:いいえ、あなたは認証された純資産またはRDPを介してのみ入手できます。
Fxmsp:販売するアクセス権はTeamViewerまたはAnyDeskリモートソフトウェア経由になります
Fxmsp:彼らのネットワーク防御システムからは私たちは見えていません
teamViewerとAnyDeskは合法的なソフトウェアです、そして管理者もそれをそこで使います。
だから問題はありません。
Fxmsp:彼ら[TrendMicro]のネットワークは巨大で、各ネットワーク部分は異なる可視性を持っています
Fxmsp:すべての[TrendMicroの]データをダウンロードして抽出すると1000テラバイトを超えます
Fxmsp:さらにすべてのデータを抽出する場合、数か月かかるので、Fxmspが隠れてすべて抽出するのは非常に危険です。

彼らは、ウイルス対策会社のネットワーク内をローミングしているのを誰も見ていないこと、そして盗んで販売したデータがオンラインで漏洩した場合にのみ侵入が発見されると確信していました。
これがチャットログの翻訳です。

Fxmsp:全く安泰です。彼ら全員 [AV会社および法執行機関] は、情報がウェブ上で利用可能になった場合になって、何が起こったかを知ることになるでしょう。

ハッカーは、「脆弱性を利用してトレンドマイクロに侵入して気づかれずに作業を行える」とチャットで主張しています。そんなことが可能なのでしょうか?!
この脆弱性については、めちゃくちゃ 面白いネタがあるのですが、今は話すべき時ではないので、それはまたの機会に ((・ω・))

Fxmspが盗み出した、セキュリティベンダーの情報の続報 その2

おすすめ

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です