Hackergruppe Fxmsp hat angeblich drei führende Anti-Viren-Hersteller geknackt

Angreifer haben es anscheinend geschafft, Zugriff zu den internen Netzen dreier großer, US-amerikanischer Anti-Viren-Hersteller zu erlangen. Der Hacker – oder die Hackergruppe – operiert unter dem Namen Fxmsp, mutmaßlich aus Russland, und ist Sicherheitsfirmen seit einigen Jahren ein Begriff. Fxmsp hat in der Vergangenheit immer wieder Zugang zu Firmennetzwerken in Untergrundforen verkauft. Nun will er oder sie es geschafft haben, Quellcode für AV-Programme, KI-Algorithmen und Browser-Schutz-Plug-Ins erbeutet zu haben. Außerdem haben die Hacker wohl noch Zugriff auf zwei der drei internen Netze der AV-Hersteller. Welche Firmen konkret betroffen sind, ist momentan nicht bekannt.

Die New Yorker Sicherheitsfirma Advanced Intelligence hatte nach eigenen Angaben Kontakt zu Fxmsp und deren Mittelsmännern, die am Verkauf der Daten beteiligt sind. Sie geht davon aus, dass die erbeuteten Daten echt sind und die Hacker wirklich Zugriff zu den internen Netzen der Anti-Viren-Hersteller hatte. Insgesamt will Fxmsp an die 30 Terabyte Daten erbeutet haben. Advanced Intelligence gibt in einem Blog-Post zu Protokoll, dass es den Mitarbeitern der Firma möglich gewesen sei, die betroffenen AV-Hersteller zu identifizieren, obwohl Fxmsp die Firmennamen unter Verschluß gehalten hätte. Man habe daraufhin die Bundespolizei FBI informiert.

Steckt Fxmp hinter dem Marriott-Hack?

Gegenüber dem US-Technik-Magazin Ars Technica berichtete die Sicherheitsfirma, dass Fxmsp sich wohl beim Herumstöbern in einem der Firmennetze verraten habe und deswegen momentan keinen Zugang mehr habe. Aktuell versuchen die Hacker demnach, wieder in die Systeme der betroffenen Firma zu gelangen. Ars Technica spekuliert, dass dies eventuell zur Veröffentlichung der Einbrüche und zum Versuch geführt habe, die Daten zu verkaufen. Bisher war die Gruppe eher dafür bekannt, Zugänge zu Netzen zu verkaufen und das Datensammeln den Käufern zu überlassen. Die Sicherheitsfirma FireEye hatte Fxmsp letztes Jahr mit Einbrüchen ins Netz einer großen Hotelkette in Verbindung gebracht – es wird spekuliert, dass es sich dabei um den Marriott-Hack gehandelt hatte.

Fxmsp hatte seine Einbrüche in Firmennetze zuerst über öffentlich im Netz auffindbare Remote-Desktop-Zugänge und Active-Directory-Server ausgeführt. Nun haben die Hacker nach eigenen Angaben ein Botnetz im Einsatz, dass Nutzernamen und Passwörtern auf infizierten Rechnern abgreift und ihnen so Zugang zu besser abgesicherten Firmennetzen verschafft. Die AV-Hersteller haben die Hacker angeblich ursprünglich deswegen angegriffen, weil sie Informationen darüber ausgraben wollten, wie deren Software funktioniert. Sie scheinen sich davon erhofft zu haben, ihre Botnetz-Malware besser gegen AV-Erkennungsroutinen abzusichern. Nun wollen sie anscheinend mit ihrer Beute darüber hinaus noch etwas Geld verdienen – laut Advanced Intelligence verlangen sie für ihre Daten und für Zugriff zu den internen Netzen der Firma mehr als 300.000 US-Dollar. (fab)