Eine mutmaßlich russische Hackergruppe mit dem Namen Fxmsp behauptet, Zugriff auf die internen Netzwerke dreier US-Antivirus-Hersteller zu haben. Die Hacker wollen 30 TByte an Quellcode sowie auch interne Daten erbeutet haben.
Den ersten Hinweise habe ich bei Bleeping Computer gesehen, aber auch Arstechnica hat einen ausführlichen Artikel veröffentlicht, wie folgender Tweet zeigt.
Still using third-party antivirus? You should consider moving to Defender and here’s why; https://t.co/uZkTMH6xQ3 #MMSMOA
— John Marcum (@Marcum_SCCM) 9. Mai 2019
Deutsche Medien wie Heise berichten ebenfalls darüber. Aufgedeckt hat den Fall die Cyber-Sicherheitsfirma Advanced IntelligenceLLC (AdvIntel), die in diesem Blog-Beitrag Details veröffentlichte.
Die Hackergruppe Fxmsp
Bei Fxmsp handelt es sich wohl um ein hochkarätiges russisch- und englischsprachiges Hackerkollektiv. Dieses ist spezialisiert auf das Hacken hochsicherer geschützter Netzwerke, um auf private Unternehmens- und Regierungsinformationen zuzugreifen. Das Kollektiv steht langjährige im Ruf gut für den Verkauf sensibler Informationen von hochkarätigen globalen Regierungs- und Unternehmenseinheiten zu sein.
Die Sicherheitsfirma stand über Mittelsmänner mit der Hackergruppe in Kontakt. Im März 2019 erklärte Fxmsp, dass sie exklusive Informationen zur Verfügung stellen könnten, die von drei führenden Antivirenunternehmen in den USA gestohlen wurden. Nun kann man wohl mutmaßen, dass das in den USA eher verpönte Kaspersky eher nicht zu den ungenannten Antivirusunternehmen, die gehackt wurden, gehört.
Angeblich Zugriff auf Firmennetzwerke
Die Hacker gaben jedenfalls an, dass sie über exklusiven Quellcode im Zusammenhang mit der Softwareentwicklung der gehackten Unternehmen verfügen. Die Hacker boten an, das Material sowie den Netzzugang für 300.000 USD zu verkaufen. Die AdvIntel-Experten schätzen diese Informationen als glaubwürdig ein.
Laut AdvIntel bautet die Hackergruppe Fxmsp in den Jahren 2017 und 2018 ein Netzwerk von vertrauenswürdigen Proxy-Resellern auf. Ziel war es, dieses Netzwerk und Techniken für Hacks zu verwenden. Der Einbruch in die Netzwerke gelang wohl über öffentlich zugreifbare Remote Desktop Protocol (RDP)-Server und ein exponiertes Active Directory. Über ein Botnetz können die Hacker automatisch Passwörter von infizierten Rechnern abgreifen, um so besser in Firmennetzwerke eindringen zu können.
Gegenüber Arstechnica haben die Sicherheitsforscher wohl noch einige Details offen gelegt. So bekam das Hacker-Kollektiv wohl Krach mit ihren Proxy-Verkäufer. Da der Proxy-Anbieter diverse Fmsp-Forenkonten überwachte, stellte das Hackerkollektiv die Kommunikation auf Jabber um. Anscheinend fielen die Hacker dann beim Zugriff auf einen Rechner und die Verzeichnisses eines der Opfer den Sicherheitsspezialisten auf. Die Sicherheitsfirma hat das FBI benachrichtigt. Mal schauen, was da noch an Details zu diesem Fall heraus kommt.
Gehen wir mal nicht davon aus, dass die nur einen Honeypot gehackt haben, dann wüsste ich nicht was ich peinlicher finde..RDV oder AD.
Klar jeden kann es mal treffen, aber bitte doch nicht über öffentliche RDVs oder Active Directory!!!!
Das klingt für mich so furchtbar unplausibel.
Avira hat wohl mal vorsichtshalber neue Update/Upgrade Server aufgesetzt zumindest sind sie unter den alten IP’s nicht mehr erreichbar. Seit gestern ca. 10:00 Uhr( die 2.18….er jetzt 2.16….er – ). Hier manuell gesetzt.
Bessere Route(weniger Hops/besser konfigurierte Server) gegenüber den 95,,,er – dann klappen sogar Updates auf mobilen Geräten mit abgelaufener Mobile-Pseudo-Flat und providerseitiger GPRS-Begrenzung mit vorsätzlicher HTTP/HTTPS Verstümmelung. Da brechen viele schlecht konfigurierte Server nach kurzer Zeit ab und der Provider freut sich erfolgreich.
Avira ist nicht „US based“.
… deswegen vorsichtshalber…
Ich flehe euch an! Hört doch endlich auf gegen Russen zu hetzen!
Berichtigt den Betreff, den es handelt hier nicht um eine russische Hackergruppe. Es sind auch einige andere Länder beteiligt.
Liest sich wie ein Kommentar einer russischen Sockenpuppe, die nicht mal den Text gelesen hat!
Noch ein Grund mehr, auf diese vermeintlichen Wundermittel zu verzichten.
30 Jahre lang (seit Amiga 500) habe ich auf allen Rechnern Anti-Viren-Software eingesetzt. Bloat-Ware mit mehreren Hundert MB Installationspaketen und meist mit Einstellungen, die sich jeder Vernunft entziehen: Sichere Einstellungen, noch sicherere Einstellung, noch viel sicherere Einstellung? – Also, was denn nun, bin ich sicher oder nicht?
Wenn ich ein Kondom kaufe, dann erwarte ich auch, dass es mich 100% schützt und nicht auf ein „noch besseres, weil sichereres“ Kondom verweist.
Diese trügerische Sicherheit, die nur vor Gefahren schützt, die meist nicht mehr virulent (Nomen es omen) sind, ist gefährlich.
Ich nutze nur noch den Windows Defender und ansonsten schicke ich jedes Programm, dass ich installieren will zu http://www.virustotal.com
Willkommener Nebeneffekt: Keine Software, die so tief im System steckt, dass sie mich regelmäßig mit Zwangs-Neustarts oder gleich ganz ausbremst.