Hackers del estado-nación violaron FireEye, robaron su …



Las «técnicas novedosas» utilizadas por los atacantes engañaron a las herramientas de seguridad y la ciencia forense, según el director ejecutivo de FireEye, Kevin Mandia.

La firma de ciberseguridad más conocida por sus habilidades de respuesta a incidentes (IR) hoy dijo que había sido violada por atacantes de estados nacionales que piratearon sus sistemas y robaron las herramientas del equipo rojo. El CEO de FireEye, Kevin Mandia, reveló el hackeo en una publicación de weblog esta tarde, señalando que la compañía se había puesto en contacto con el FBI y está trabajando tanto con la oficina como con Microsoft en una investigación del ataque.

«Este ataque es diferente de las decenas de miles de incidentes a los que hemos respondido a lo largo de los años. Los atacantes adaptaron sus capacidades de clase mundial específicamente para apuntar y atacar a FireEye», dijo Mandia en el enviar. «Están altamente capacitados en seguridad operativa y ejecutados con disciplina y enfoque. Operaron clandestinamente, utilizando métodos que contrarrestan las herramientas de seguridad y el examen forense. Utilizaron una combinación novedosa de técnicas que nosotros o nuestros socios no presenciamos en el pasado».

Los atacantes buscaban y se apoderaron de algunas de las herramientas de evaluación del equipo rojo de FireEye que la empresa utiliza en sus compromisos con los clientes. Mandia dijo que la compañía está proporcionando métodos y formas de detectar cualquier uso malicioso de las herramientas robadas. Hasta ahora, no hay señales de que las herramientas FireEye robadas se estén utilizando en ningún ataque, pero Mandia dice que su compañía ha creado «contramedidas» para detectar o bloquear las herramientas, así como contramedidas en sus propios productos de seguridad, que son ahora disponible en GitHub.

FireEye no reveló qué estado-nación está detrás del ataque, pero The New York Moments informó se cree que es Rusia.

La mayoría de los atacantes buscaban información sobre clientes gubernamentales específicos de FireEye, pero Mandia dijo que no parece que hayan accedido a ninguna información de clientes de sus proyectos de consultoría o de IR, ni a ningún metadato recopilado por los productos FireEye. Sin embargo, sí tuvieron acceso a algunos sistemas FireEye internos, dijo.

«Si descubrimos que se tomó la información del cliente, lo contactaremos directamente», dijo Mandia.

Mandia no reveló ningún detalle sobre cómo los atacantes lograron superar las propias defensas de la pink de FireEye, pero el ataque plantea preocupaciones ancestrales sobre la capacidad de determinados atacantes para romper incluso las organizaciones de seguridad más avanzadas. También recuerda a la filtración y filtración de las herramientas de piratería de la NSA por parte del llamado Hacking Team y las consecuencias del exploit EternalBlue.

John Bambenek, presidente de Bambenek Labs y administrador del SANS Online Storm Centre, dice que el desafío será lograr la adopción generalizada de las contramedidas lanzadas por FireEye.

«Las contramedidas tienen que ser adoptadas por todos y sabemos que eso no va a suceder», dice. «Lo primero que todo el mundo debería hacer es aplicar estas herramientas de detección en los dispositivos IDS / IPS y en las herramientas de detección de puntos finales. Lo segundo es tener un conocimiento profundo de cómo funcionan estas herramientas cuando los atacantes modifican las herramientas para anular las reglas de detección. FireEye publicó, (los defensores) pueden identificar más mecanismos de detección a largo plazo «para frustrar las herramientas que se utilizan en su contra.

Bambenek dice que cree que los atacantes estaban interesados ​​principalmente en las herramientas del equipo rojo de FireEye debido a su capacidad para evadir la detección: «¿Por qué hacer I + D cuando puedes simplemente robarlo de FireEye?»

Rick Holland, CISO y vicepresidente de estrategia de Electronic Shadows, señala que si las herramientas del equipo rojo de FireEye se filtran, las consecuencias serán dolorosas.

«Si estas herramientas se vuelven ampliamente disponibles, este será otro ejemplo de la barrera de entrada de los atacantes cada vez más baja», dijo en un comunicado. «La conclusión aquí: que estas herramientas lleguen a las manos equivocadas harán que la vida de los defensores sea más desafiante».

Kelly Jackson Higgins es la editora ejecutiva de Darkish Looking at. Es una periodista veterana y galardonada en tecnología y negocios con más de dos décadas de experiencia en la elaboración de informes y la edición de varias publicaciones, incluidas Community Computing, Secure Enterprise … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic