Tre amerikanska antivirusföretag verkar sannolikt ha blivit hackade av vad som tycks vara en rysk hackergrupp som går under namnet Fxmsp. Hackergruppen, som kommunicerar på ryska och engelska, försökte sälja tillgång till antivirusföretagens nätverk och hela eller delar av källkoden till deras produkter.
Som TechWorld skrev igår försöker Fxmsp att sälja denna information på ett hackerforum för upp till 300 000 dollar. Som alltid i dessa sammanhang är det svårt att veta om hackergruppen verkligen har något riktigt att komma med eller om det rör sig om hittepå och lurendrejeri. Hittills har heller inte namnet på de drabbade företagen kommit ut.
Idag går den amerikanska nyhetssajten Bleeping Computer ut med uppgifter om de tre företagen och presenterar mer eller mindre trovärdiga evidens, till skillnad från bevis, som de tagit del av från AdvIntel, som är det it-säkerhetsföretag som upptäckte försäljningen och hacken. Anledningen till att namnen hållits hemliga är förstås känsligheten i ärendet samt att AdvIntel rapporterat sina fynd till de amerikanska rättsvårdande myndigheterna, bland annat FBI.
Men som Bleeping Computer skriver är nu ”katten ute ur säcken” sedan de tre företagen, Symantec, McAfee och Trend Micro gått ut med uttalanden om incidenterna och antingen spelar ned händelsen, kommer med information som motsäger evidensen från AdvIntel, eller varken bekräftar eller förnekar det inträffade.
Det AdvIntel kan visa upp är konversationer på det aktuella hackerforumet där de tre företagens namn förekommer i de diskussioner som förs om ”varornas” kvalitet och pris. AdvIntel har kommit över chatt-loggar från dessa konversationer.
Dessa chatt-loggar visar konversationer inom hackergruppen där hackarna nämner de tre företagen. Enligt AdvIntel kan de visa upp evidens som stödjer deras rapport från förra veckan där de gick ut med sitt avslöjande om intrången. AdvIntel kan visa chatt-loggar från hackarna själva, videoinspelningar från hackarna där de visar hur de rör sig inom de drabbade företagen nätverk och laddar ned filer, och prover på källkod från åtminstone ett av de drabbade företagen, som AdvIntel kommit över från hackarna.
Dessa evidens har AdvIntel delat med Bleeping Computer, plus en skärmdump som visar egenskaperna för ett videoklipp som enligt AdvIntel ger stöd för deras påståenden. Videon visar, enligt Bleeping Computer, överföringar av gigabyte med data från ett av de drabbade företagen, inklusive tidsstämplar på filerna, kommentarer från hackarna, källkod och en genomgång av källkoden.
AdvIntel säger till Bleeping Computer att de kontaktade Symantec den 8 maj, och att de haft en dialog under de följande två dagarna, något som Symantec till en början förnekar enligt deras första uttalande till media. Symantec byter sedan fot och medger att de fört samtal med AdvIntel och att ”vi ser ingen anledning till oro bland våra kunder”.
AdvIntel, å sin sida, framhåller att det behövs mer bevis för att helt kunna bekräfta ett intrång hos Symantec. Hackarna nämner Symantec i deras konversationer, men de har inte presenterat konkreta bevis för deras påstådda intrång. AdvIntel håller med Symantec om att Symantecs kunder inte behöver oroa sig, i vart fall inte för tillfället.
Trend Micro var det första företagen AdvIntel kontaktade - den 24 april. Trend Micro medger i ett uttalande till Bleeping Computer att det skett ett intrång. Enligt Trend Micro har ett testlabb infiltrerats, och viss ”lågrisk-information” har stulits. Trend Micro har satt det aktuella labbet i karantän och arbetar vidare med fallet tillsammans med amerikanska rättsvårdande myndigheter. Inte heller Trend Micro anser att det finns anledning till oro bland kunderna.
AdvIntels vd Yelisey Boguslavskiy, som är den som översatt de ryska hackarnas chattkonversationer, säger dock att Trend Micros uttalande är felaktigt.
– Vad gäller Trend Micro kan vi framställa evidens (en. evidence, inte proof) för de faktiska filerna som stulits, mer än 100 megabyte sym-filer, och att angriparna hade tillgång till över 30 terabyte källkod och allting från Trend Micro, säger Yelisey Boguslavskiy till Bleeping Computer.
McAfee kontaktades av AdvIntel den 9 maj, men har bara gett ett kort uttalande om att de är ”medvetna om de påstådda intrången och har vidtagit mått och steg för att utreda påståendena”. Bleeping Computer har inte fått svar på sina frågor till McAfee. AdvIntel kontaktade även den federala polisen FBI den 4 maj.
Läs också:
Hackare säljer tillgång till tre amerikanska antivirusföretag
It-säkerhetens hemligaste rum – här upptäcks 10 000 misstänkta attacker varje dag
