4 éditeurs d'anti-virus seraient compromis

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 2271
Inscription : 02 juin 2012 20:48

4 éditeurs d'anti-virus seraient compromis

Message par Parisien_entraide » 12 mai 2019 12:31

Fxmsp-.jpg

_________________________________________

Source initiale https://www.advanced-intel.com/blog/to ... companies

En résumé voila comment cela est décrit:

"Un groupe de hackers aurait réussi à pirater les infrastructures de trois éditeurs américains. Il a récupéré 30 To de données confidentielles qu'ils revendent maintenant pour 300 000 dollars."
fxmsp-800x657.jpg

L'ARRIERE PLAN :


Celui qui a alerté le FBI : Yelisey Boguslavskiy annoncé comme Directeur de Recherches chez Advanced Intel (intel pour intelligence et non la sté Intel)

La sté se présente ainsi :

AdvIntel est une société de prévention de la fraude créée par une équipe d’enquêteurs agréés et de chercheurs expérimentés. Nous proposons des solutions de pointe pour prévenir les pertes en fournissant des alertes rapides, des renseignements sur les menaces appliquées et des services stratégiques à long terme au secteur privé et aux organisations gouvernementales afin de les aider à surmonter les obstacles liés aux cybermenaces établies et émergentes. (...)


Le profil LinkedIn de Boguslavskiy indique qu'il est un ancien analyste de Flashpoint et Kroll, qui a déjà travaillé comme membre du personnel électoral auprès du chef de l'opposition russe Alexey Navalniy. La société existe depuis 1 an répertorie deux employés et a fait son premier post il y a une semaine. Boguslavskiy a un compte Twitter qui n'a généré qu'un seul post.



LES HACKERS


Un groupe de pirates baptisé Fxmsp constitué d'anglos saxons et de russes où on retrouve un certain "Andrey".Cet homme est impliqué dans des activités de cybercriminalité depuis le milieu de l'année 2000 et serait résidant à Moscou

Fxmsp avait disparu des forums underground en octobre 2018 avant une réapparition en avril. Un temps qui aurait été mis à profit pour compromettre les réseaux des sociétés d'antivirus d'après Advintel

Fxmsp se serait notamment appuyé sur la compromission d'Active Directory et aurait mis en place un accès via des serveurs RDP (Remote Desktop Protocol) externes. Il aurait en outre récemment développé un botnet pour dérober des identifiants.

Ils ont utilisé la même méthode que celle de l'opération Carbanak https://en.wikipedia.org/wiki/Carbanak qui s'était attaqué aux banques du monde entier (selon Kaspersky)

Le groupe s'était distingué dans un rapport FireEye publié en 2018 sur la cybercriminalité pour avoir vendu l'accès aux réseaux d'entreprises dans le monde entier, y compris une brèche mondiale d'un groupe d'hôtels de luxe, potentiellement liée à la brèche révélée par Marriott / Starwood en novembre dernier
fxmsp-spring-2019-op-advintel.jpg
Au cours des deux dernières années, Fxmsp a travaillé à la création d’un réseau de revendeurs de proximité afin de promouvoir et de vendre des accès sur les marchés criminels.

Récemment, le groupe affirme avoir mis au point un réseau de zombies volant des identifiants, capable d'infecter des cibles de premier plan et d'exfiltrer des données sensibles, y compris des identifiants d'accès.



QUE PROPOSENT T-ILS ?


Les codes sources de Quatre antivirus qu'ils ont mis en vente sur le Dark Web
En fait les propositions ont commencé en mars mais la vente doit être annonce sur les fora. Celle ci était initialement prévue en mai, mais divers conflits dont un avec un de leur mandataire a précipité la vente qui pourrait être "publique" et non cachée sur un forum

Les différentes sources indiquent 3 éditeurs d antivirus, mais en réalité il y en a quatre

Parmi ces données, il y aurait non seulement les codes sources des logiciels et des plugins Web, mais aussi leurs modèles d’intelligence artificielle. Les pirates revendent également les accès qu’ils ont réussi à établir en douce sur les réseaux de ces éditeurs. L’offre globale, données et accès réseaux, est proposée pour 300 000 dollars.

Le prix demandé initial était de 250 000 USD pour les informations d'accès et de 150 000 USD pour le code source, mais ils étaient prêts à vendre les deux pour au moins 300 000 USD, en fonction de la société antivirus à laquelle l'acheteur est intéressé.

Cette offre était pour chaque entreprise individuelle et il ne s'agit pas d'un prix fixe. Cela pourrait aller jusqu'à 1 million de dollars pour un accès. Une offre définitive est toujours en discussion avec les intermédiaires.

Pour l'acheteur, cela lui permettrai de trouver des failles dans les logiciels de sécurité et, ainsi, de les contourner ou de les utiliser comme une porte dérobée.



QUELS SONT LES EDITEURS D'ANTIVIRUS CONCERNES ?


Vu que le FBI enquête, les noms ne sont pas révélés, mais ils sont qualifiés de majeurs et américains.


Alors quels sont ces éditeur d'AV Américains ? (dans le désordre)

- McAfee
- Symantec Norton
- Fortinet
- Webroot (SpySweeper, Secure AnyWhere)
- Vipre (ex SunBelt Software et racheté par j2 Global)
- Comodo


Mais on peut y ajouter

CISCO avec immunet (éditeur majeur en entreprise donc une cible idéale)

Microsoft avec Windows Defender (plus utilisé par les particuliers, mais vu que le groupe aime bien également les login et mdp de particuliers..)

PC Pitstop Company avec PC matic (inconnu chez nous mais populaire aux USA https://www.bleepingcomputer.com/forums ... -bad-word/

Check point avec ZoneAlarm Extreme Security (la branche israélienne s'occupe de ZoneAlarm PRO Antivirus + Firewall)


Une piste ?

Coincidence, Greg Clark, PDG de Symantec, a présenté sa démission il y a 2 jours
Motif : Suite la publication des derniers résultats négatifs de l’entreprise et des actionnaires mécontents



ALORS ?


Le site https://www.advanced-intel.com à présenté une copie écran du "code source"
9d5cee_cbf7cdfc4337412ebc7b894feb8d643e~mv2_d_1276_1376_s_2.png

Seulement cela ressemble plus à du déssasemblange du fait qu'on trouve des fichiers de symboles compressés, caractéristiques
Néanmoins en arrière-plan, il semble toutefois qu'il y ait un accès au répertoire de symboles sur le partage réseau à partir de la version finale du produit. Et le répertoire commence par "src" [source] alors on peut imaginer qu'il s'agit du référentiel


Tim Mackey, stratège principal en matière de sécurité chez Synopsys CyRC, a déclaré: «C’est un cas où je crains qu’il n’y ait plus de rumeurs que de faits. L'image de code source montre simplement le code d'assemblage, ce qui peut être facilement obtenu en exécutant un débogueur sur n'importe quelle application et qui ne nécessite aucun accès direct à un code source. ”

Il a ajouté: «Comprendre le code assembleur est une compétence couramment disponible au sein des équipes de développement d'applications de bureau. Bien que cela puisse aider un groupe malveillant à avoir accès au code source complet d'une application pour créer ses attaques; En réalité, quiconque cible un agent anti-virus est probablement très compétent en langage d'assemblage et peut trouver le code source plus distrayant. "


On peut y ajouter le curieux profil de la sté Advanced Intel et son dirigeant, sans compter que cela ne peut faire que les affaires de Kaspersky sur le territoire US :-)
Bref pour l instant il vaut mieux attendre des détails et en espérant que cela ne débouche pas sur une affaire à la CCleaner.

viewtopic.php?t=58502


Only Amiga... was possible !


Malekal_morte
Site Admin
Site Admin
Messages : 96143
Inscription : 10 sept. 2005 13:57
Contact :

Re: 4 éditeurs d'anti-virus seraient compromis

Message par Malekal_morte » 13 mai 2019 20:14

Pour le moment, ça ne fait pas grand bruit.
A suivre =)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 2271
Inscription : 02 juin 2012 20:48

Re: 4 éditeurs d'anti-virus seraient compromis

Message par Parisien_entraide » 13 mai 2019 22:15

Alors il y a du neuf

Aujourd'hui on a bleeping qui a posté des détails à midi (et qui parle lui aussi d'un quatrième édtieur) :

https://www.bleepingcomputer.com/news/s ... companies/

Et de ce qui traine sur le net on a les noms de 3 Stés

Symantec
Trend Micro
McAfee

Symantec qui dit ne pas avoir été contacté par AdvIntel mais.. AdvIntel dit les avoir contacté 3 fois ce mois ci : via un partenaire le 8 mai et 2 appels les 9 et 10

TrendMicro : "AdvIntel a également contesté l'affirmation de Trend Micro selon laquelle aucun code source n'avait été consulté, indiquant que "cette déclaration est incorrecte en raison de la partie des données dont nous disposons et de la déclaration de l'acteur".

McAfee a répondu "nous enquêtons"


Au final on a

Un éditeur qui dément fermement
Un autre qui confirme une brèche mineure
Un qui ne confirme ni ne nie

ce qui est surprenant que c'est que TREND n'est pas une sté US mais Japonaise (le quatrième éditeur non cité dans la news initiale ?)
Only Amiga... was possible !

Malekal_morte
Site Admin
Site Admin
Messages : 96143
Inscription : 10 sept. 2005 13:57
Contact :

Re: 4 éditeurs d'anti-virus seraient compromis

Message par Malekal_morte » 14 mai 2019 09:38

Oui j'ai vu le tweet de BleepingComputer un peu après mon message mais au niveau des sites habituels d'actus, c'est plutôt le calme plat.
Après ça reste assez flou pour le moment.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
devadip
Geek à longue barbe
Geek à longue barbe
Messages : 795
Inscription : 25 févr. 2008 20:01

Re: 4 éditeurs d'anti-virus seraient compromis

Message par devadip » 15 mai 2019 22:13

Les 3 gagnants seraient symantec, trend micro et Mcafee (https://www.01net.com/actualites/codes- ... tor=EPR-1-[N-Actus]-20190514)


Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 2271
Inscription : 02 juin 2012 20:48

Re: 4 éditeurs d'anti-virus seraient compromis

Message par Parisien_entraide » 15 mai 2019 23:20

devadip a écrit :
15 mai 2019 22:13
Les 3 gagnants seraient symantec, trend micro et Mcafee (https://www.01net.com/actualites/codes- ... tor=EPR-1-[N-Actus]-20190514)
Heu il y a rien de neuf dans leur article par rapport à ce qui a été dit auparavant pour la simple raison que ... "Selon BleepingComputer..(...)
Only Amiga... was possible !

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 2271
Inscription : 02 juin 2012 20:48

Re: 4 éditeurs d'anti-virus seraient compromis

Message par Parisien_entraide » 21 juin 2019 19:31

Symantec a mené sa propre enquête interne, dont on peut dire que Fxmsp a exagéré l’importance de son "piratage".

En fait, tout n’est pas si grave du moins pour eux car il n'y a pas de nouvelles des autres éditeurs

Dans une déclaration au Guardian, Symantec a confirmé qu'un des réseaux de la société avait été compromis, alors que certaines données avaient été volées.

Cependant, ce réseau n’a aucun lien avec le reste des activités de la société antivirus.

En fait, il s’agissait d’un laboratoire séparé en Australie, utilisé exclusivement pour démontrer les développements de la société.

En conséquence, les cybercriminels ont volé les données utilisées dans le processus de test et de démonstration. En d'autres termes, il s'agit d'informations factices peu pertinentes pour le travail réel de Symantec.

Aucune preuve du fait que le code source du produit antivirus de la société a été compromis n'a été détectée.
Only Amiga... was possible !

Malekal_morte
Site Admin
Site Admin
Messages : 96143
Inscription : 10 sept. 2005 13:57
Contact :

Re: 4 éditeurs d'anti-virus seraient compromis

Message par Malekal_morte » 21 juin 2019 21:03

happy end ? =)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Actualité & News Informatique »