Una empresa de seguridad de Nueva York dice que un grupo internacional de delitos informáticos ha penetrado en las redes de la empresa de tres firmas antivirus sin nombre en Estados Unidos y ha robado unos 30 terabytes de datos. El grupo está ofreciendo vender los datos. Más el acceso a las redes de la compañía, por $300,000.
Como informó por primera vez Ars Technica, la incipiente “firma boutique de ciberseguridad”, Advanced Intelligence, Inc., dice que un “colectivo de hacking de habla rusa e inglesa” llamado Fxmsp pasó los últimos seis meses intentando trabajar en las redes de firmas de antivirus, y finalmente anunció el éxito el 24 de abril.
Piratas informáticos violan compañías de antivirus
Un conjunto de datos robados visto por Advanced Intelligence parece “contener información sobre la documentación de desarrollo de la compañía, el modelo de inteligencia artificial, el software de seguridad web y el código base del software antivirus”, según una publicación del blog Advanced Intelligence.
La publicación incluía lo que parecía ser una captura de pantalla de un editor de código y una ventana del Explorador de Windows que muestra una estructura de archivos. Un comentarista de Ars Technica dijo que el editor de código parecía ser realmente un descompilador. Una herramienta que intenta reconstruir el código fuente del software mediante el análisis de datos binarios.
Hay mucho que no sabemos sobre esta divulgación. ¿Hubo alguna información personal sobre los clientes de la compañía de antivirus en los datos robados? ¿Podrían los hackers maliciosos crear malware más poderoso si leen un código fuente de antivirus? ¿Fxmsp tiene realmente el código fuente, o solo está tratando de descompilar archivos binarios?
Y por último, pero no menos importante, ¿qué tres compañías de antivirus con sede en Estados Unidos fueron violadas en estos supuestos ataques? Solo podemos pensar en algunos de los principales actores del mercado de consumo: Comodo, Malwarebytes, McAfee, Microsoft, Symantec / Norton y Webroot.
Pero hay muchos otros proveedores de seguridad de “próxima generación” en el mercado empresarial: Carbon Black, CrowdStrike, Cybereason, Cylance, FireEye, Morphisec, Palo Alto Networks, SentinelOne y, sin duda, nunca más hemos escuchado. Algunas de estas firmas relativamente nuevas se resisten a la denominación “antivirus”, porque eso es un error, pero tal vez los atacantes que buscan robar el código fuente no sean tan delicados.
En cualquier caso, sabemos que Advanced Intelligence dice que llamó a la policía cuando vio los datos de Fxmsp. Así que el FBI está en el caso, y las compañías que fueron violadas ya deberían saber quiénes son. Con suerte, algún día podríamos saberlo también.