A finales de la semana pasada se desveló que tres grandes antivirus de Estados Unidos habían sido hackeados por un grupo ruso llamado Fxmsp, y éstos posteriormente habrían puesto a la venta en la Dark Web su código fuente y acceso remoto por unos 300.000 dólares a cada una de las empresas. Ahora se sabe más de este hackeo, incluyendo los posibles nombres de los antivirus afectados.
El grupo de hackers ruso Fxmsp es conocido en foros clandestinos y comenzó a anunciar en abril que tenía acceso remoto persistente a las redes de varias compañías de antivirus con oficinas en los Estados Unidos.
Symantec, McAfee y Trend Micro: las tres supuestas empresas que habrían sido hackeadas
Este tipo de hackeos se han dado otras veces en el pasado. Por ejemplo, en 2012 Symantec reveló que 6 años antes unos hackers se hicieron con el código fuente de sus antivirus Norton. En 2015, Kaspersky anunció que su red interna había sido infiltrada por un atacante con el mismo fin: obtener el código fuente de sus diversas soluciones de seguridad. A su vez, Bitdefender dejó credenciales de acceso en un servidor con software desactualizado, lo que abrió la puerta a hackers.
Estos fallos no fueron demasiado graves, ya que en el caso de Norton el software al que accedieron era muy antiguo, mientras que en el Kaspersky fue detectado a tiempo antes de que robaran ningún dato. Con Bitdefender sólo se vieron afectados el 1% de sus clientes con SMB.
Sin embargo, el de Fxmsp es el más grave del que se tiene conocimiento, ya que consiguieron un montón de información: código fuente de los antivirus, modelos de inteligencia artificial para detectar amenazas, paneles de usuario, software de seguridad web, y otras utilidades de seguridad.
Habría una cuarta empresa de antivirus hackeada
Una de las compañías tenía los archivos guardados sin extensión para impedir que el acceso a ellos fuera directo, pero los hackers consiguieron finalmente acceder a ellos. Tardaron seis meses en conseguir acceder a las redes internas de las empresas de antivirus, y la operación fue orquestada por dos equipos: uno de Estados Unidos y otro de Taiwán.
Actualmente no se sabe a ciencia cierta cuáles son las empresas afectadas, pero desde que se conoció el suceso en Twitter y Reddit se habla de que las víctimas serían Symantec, McAfee y Trend Micro. Aunque en el caso de las dos primeras es casi seguro que están afectadas, la tercera no cuenta con sede en Estados Unidos. Esto deja abierta a una tercera empresa que todavía se desconoce, la cual podría ser Comodo Group o Check Point, creadores de Comodo y ZoneAlarm, respectivamente. Casualmente, el mismo día 10 las acciones de Symantec se desplomaron por una mala perspectiva de ingresos, además de que su CEO dimitió.
El FBI se encuentra investigando el suceso. Boguslavskiy, de AdvIntel, afirma que una de las marcas de antivirus ha reconocido la existencia del incidente, aunque no han desvelado el nombre. De hecho, habría también una cuarta empresa de antivirus afectada por el hackeo, pero no se sabe de qué país es. Veremos si más adelante se van revelando más datos al respecto, o si los propios hackers publican cuáles han sido las compañías hackeadas.