McAfee, Symantec et Trend Micro piratés : ce que l’on sait de l’intrusion des hackers

Publié le

En mars dernier, un groupe de hackers du nom de Fxmsp a annoncé qu’il avait eu accès aux réseaux et au code source de trois sociétés d’antivirus possédant des locaux aux États-Unis. Les hackers tentent d’ailleurs de revendre ces données pour un prix de départ oscillant entre 150 000 $ et 250 000 $ en fonction des données et des éditeurs concernés.  AdvIntel, une société tierce spécialisée dans la prévention des fraudes a publié un rapport sur cette intrusion. Que sait-on de cet incident ?

Quelles sont les trois victimes de Fxmsp ?

Dans un premier temps, les noms des éditeurs d’antivirus n’ont pas été révélés au public en raison de la nature délicate de l’affaire. D’ailleurs, les autorités ont été alertées sur le piratage. Les rumeurs allant bon train, les sociétés concernées ont finalement réagi.

Selon les cas, elles minimisent, nient ou refusent pour le moment de confirmer ou d’infirmer les incidents. Les victimes de Fxmsp sont trois éditeurs majeurs, il s’agit de McAfee, Symantec et Trend Micro.

AdvIntel a été contactée par le site Bleeping Computer. La société a rassemblé des informations et journaux des outils de messagerie instantanée des pirates. Les hackers y nomment clairement McAfee, Symantec et TrendMicro.

Fxmsp chat logs

Une des captures d’écran diffusées par Bleeping Computer et recueillies par AdvIntel

Dans l’image ci-dessus, Fxmsp déclare avoir ciblé spécifiquement Trend Micro en exploitant une faille. Fxmsp rajoute que McAfee est également concernée et que les deux sociétés ne sont pas au courant de l’incident. 

Quelles données ont été dérobées ?

Selon AdvIntel, les données qui ont été subtilisées “semblent contenir des informations sur le développement des entreprises, leur modèle d’intelligence artificielle, leur solution de sécurité web et le code source de leurs logiciels antivirus”. Au total, 30 To de données ont été dérobés !

AdvIntel rapporte également que les hackers ont utilisé une méthode déjà connue et mise en lumière récemment par Kaspersky, dans des attaques de banques russes.

En ce qui concerne l’aspect technique, les pirates auraient compromis l’Active Directory d’au moins une entreprise et auraient utilisé un serveur distant externe. L’Active Directory est une zone critique d’un réseau Windows. Il permet de définir les stratégies de sécurité et de les gérer sur le système. C’est également cette zone qui permet d’authentifier et d’autoriser les utilisateurs et ordinateurs d’un réseau.

Que sait-on des hackers ?

Selon les investigations d’AdvIntel, Fxmsp serait un collectif de hackers principalement russophones et anglophones. Le collectif avait disparu des forums clandestins en octobre 2018, mais a finalement refait surface au mois d’avril. Fxmsp cible principalement des réseaux d’entreprises et de gouvernements.

En avril 2018, Fxmsp avait annoncé qu’il détenait des informations d’accès d’une chaîne hôtelière présente en Europe, en Afrique et en Amérique du Sud. Les hackers se seraient également attaqués au ministère des finances du Ghana, au gouvernement colombien et à diverses sociétés d’investissements à travers le monde.

En règle générale, ces hackers se montrent très prudents et utilisent des intermédiaires pour attirer des acheteurs potentiels via des forums clandestins russes et anglais. AdvIntel estime que le groupuscule a réalisé un profit d’environ 1 million de dollars à ce jour. La société a alerté le FBI le 4 mai sur les activités de Fxmsp.

Source : Advintel via Bleeping Computer

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Autres articles sur le même sujet