Un groupe de hackers aurait réussi à pirater les infrastructures de trois éditeurs américains. Il a récupéré 30 To de données confidentielles qu’il revend maintenant pour 300 000 dollars.
Et si, derrière votre bel antivirus, se planquait en réalité un groupe de pirates ? L’idée est loin d’être absurde, car les codes sources de trois antivirus américains sont actuellement en vente sur le Dark Web.
Selon les analystes de la société AdvIntel, un groupe de pirates baptisé Fxmsp propose 30 To de données volées auprès de trois éditeurs antivirus majeurs, basés aux Etats-Unis.
Parmi ces données, il y aurait non seulement les codes sources des logiciels et des plugins Web, mais aussi leurs modèles d’intelligence artificielle. Les pirates revendent également les accès qu’ils ont réussi à établir en douce sur les réseaux de ces éditeurs. L’offre globale, données et accès réseaux, est proposée pour 300 000 dollars.
De telles informations sont évidemment une mine d’or. Elles permettent de trouver des failles dans les logiciels de sécurité et, ainsi, de les contourner ou de les utiliser comme une porte dérobée.
Ce dernier cas d’usage est d’autant plus intéressant qu’un logiciel antivirus dispose de droits d’accès très élevés. C’est donc un outil idéal pour effectuer de l’espionnage. AdvIntel n’a pas précisé de quels antivirus il s’agissait, mais a alerté les forces de l’ordre américaines sur le sujet.
Un groupe actif depuis au moins 2017
Fxmsp n’est un acteur nouveau. Les chercheurs de FireEye l’avait déjà identifié en 2018 comme un fournisseur de portes dérobées à des réseaux d’organisations privées et publiques.
Le groupe opère depuis au moins 2017 dans des forums underground russophones et anglophones. Généralement, il propose des accès à distance RDP (Remote Desktop Protocol) et des accès administrateurs aux annuaires Active Directory.
Cette activité, qui se fait de manière directe ou à travers de revendeurs, lui aurait d’ores et déjà rapporté plus d’un million de dollars. Récemment, le groupe s’est par ailleurs doté d’un botnet spécialisé dans le vol d’identifiants.
Apparemment, pirater l’infrastructure de ces trois éditeurs de solutions de sécurité et récupérer toutes ces données n’a pas été une chose facile. Selon AdvIntel, les pirates disent que c’était leur « principal projet » durant les six derniers mois. Ce qui expliquerait pourquoi ce groupe n’a presque plus donné signe de vie sur les forums entre octobre 2018 et avril 2019.
Source: AdvIntel