La empresa de seguridad FireEye afectada por un ciberataque patrocinado por el estado


Los piratas informáticos robaron las herramientas del Equipo Rojo de la empresa, que se utilizan para ayudar a las organizaciones a contrarrestar los ciberataques.

Violación de seguridad, alerta de pirateo del sistema con un icono rojo de candado roto que muestra datos no seguros bajo ciberataque, acceso vulnerable, contraseña comprometida, infección de virus, red de Internet con código binario

Imagen: Getty Photos / iStockphoto

Una empresa que intenta ayudar a los clientes a protegerse de los ciberataques fue en sí misma víctima de un ataque y aparentemente llevado a cabo por un estado-nación. El martes, la firma de seguridad FireEye reveló que period golpeado por un ciberataque patrocinado por el estado a través del cual los atacantes robaron sus herramientas Red Group, una colección de scripts, escáneres y técnicas utilizadas para capacitar a los clientes sobre cómo mejorar sus defensas de seguridad.

VER: Seguridad de confianza cero: una hoja de trucos (PDF gratuito) (TechRepublic)

«Basándome en mis 25 años en seguridad cibernética y respondiendo a incidentes, he llegado a la conclusión de que estamos presenciando un ataque de una nación con capacidades ofensivas de primer nivel», dijo el CEO de FireEye, Kevin Mandia, en la publicación del blog site. «Este ataque es diferente de las decenas de miles de incidentes a los que hemos respondido a lo largo de los años. Los atacantes adaptaron sus capacidades de clase mundial específicamente para apuntar y atacar a FireEye».

Mandia se refirió a los atacantes como altamente capacitados en seguridad operativa y al ataque en sí como llevado a cabo con disciplina y concentración. Los atacantes operaron clandestinamente utilizando tácticas que contrarrestan las defensas de seguridad y el examen, y las que, según Mandia, no fueron vistas antes por FireEye o sus socios.

Mandia dijo que FireEye está investigando el incidente con la ayuda del FBI y socios clave como Microsoft. Sus hallazgos preliminares también señalan al culpable como un sofisticado atacante patrocinado por el estado que utilizó técnicas novedosas.

El atacante apuntó y robó herramientas de evaluación específicas del Equipo Rojo que se utilizan para analizar la seguridad de los clientes de FireEye. Herramientas del equipo rojo están diseñados para replicar el comportamiento de los ciberdelincuentes reales para simular un ataque authentic. Para frustrar este ataque simulado, una organización utiliza un Equipo Azul como una forma de probar y reforzar sus defensas internas.

«Las herramientas de FireEye son esencialmente malware del mundo true que se utilizaron para &#39pruebas de penetración&#39 o sondear vulnerabilidades de clientes del mundo authentic», dijo a TechRepublic Kevin O&#39Brien, director ejecutivo y cofundador del proveedor de seguridad de correo electrónico GreatHorn. «Que un estado-nación gown ese conjunto de herramientas es fundamentalmente diferente de que lo gown un actor de amenazas privado: un actor del estado-nación opera en líneas de tiempo más largas (meses o años), y united states tecnología como esta para desarrollar una novela hiper-dirigida ataques «.

La pregunta ahora es ¿cómo se aprovecharán los atacantes de las herramientas robadas del Equipo Rojo?

Mandia dijo que no está seguro de si los atacantes usarán las herramientas o las divulgarán públicamente. Al señalar que los actores privados venden herramientas, O&#39Brien cree que es más possible que estos actores del estado-nación utilicen las herramientas para ataques sofisticados en objetivos de infraestructura importantes, como sistemas de salud, objetivos militares y sistemas de handle industrial.

Las agencias gubernamentales también pueden estar en riesgo, especialmente desde que Mandia reveló que el atacante se dirigió específicamente a información relacionada con ciertos clientes gubernamentales.

«Las herramientas robadas les dan a los atacantes otro método para comprometer los objetivos del gobierno», dijo Rick Holland, director de seguridad de la información de la firma de seguridad Electronic Shadows. «Pueden reservar sus herramientas de primer nivel para &#39objetivos duros&#39 como el Departamento de Defensa y potencialmente aprovechar estas nuevas herramientas contra &#39objetivos blandos&#39 como agencias gubernamentales civiles. Los ladrones no identificados podrían usar las herramientas robadas para imitar las tácticas de otros países, agregando una nueva capa para proteger sus verdaderas identidades e intenciones «.

En respuesta al robo de las herramientas del Equipo Rojo, Mandia dijo que ninguna de ellas contiene exploits de día cero, que podrían emplearse para comprometer computadoras y redes. También dijo que FireEye aún no ha visto ninguna evidencia de que un atacante haya utilizado estas herramientas. Pero Mandia agregó que la compañía ha implementado 300 contramedidas tanto para sus clientes como para la comunidad en standard, incluidas las siguientes:

  • «Hemos preparado contramedidas que pueden detectar o bloquear el uso de nuestras herramientas del Equipo Rojo robadas.
  • Hemos implementado contramedidas en nuestros productos de seguridad.
  • Compartimos estas contramedidas con nuestros colegas de la comunidad de seguridad para que puedan actualizar sus herramientas de seguridad.
  • Estamos poniendo las contramedidas a disposición del público en la publicación de nuestro web site «Acceso no autorizado a las herramientas del equipo FireEye Red. «
  • Continuaremos compartiendo y refinando cualquier mitigación adicional para las herramientas del Equipo Rojo a medida que estén disponibles, tanto pública como directamente con nuestros socios de seguridad «.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha emitido su propio aviso en respuesta al ataque, instando a los profesionales de la ciberseguridad a revisar las dos publicaciones del blog site de FireEye («FireEye comparte detalles de un ciberataque reciente y acciones para proteger a la comunidad«y»Acceso no autorizado a las herramientas del equipo FireEye Pink«) para obtener más información y Repositorio de GitHub de FireEye para la detección de contramedidas.

«Con suerte, estas herramientas no llegan a las manos del público», dijo Holland. «Hemos visto el impacto dañino de Hacking Staff y el Fugas / divulgaciones de la herramienta EternalBlue de la NSA. Si estas herramientas se vuelven ampliamente disponibles, este será otro ejemplo de la barrera de entrada de los atacantes cada vez más baja. La conclusión aquí: el hecho de que estas herramientas lleguen a las manos equivocadas harán que la vida de los defensores sea más desafiante «.

Ver también



Enlace a la noticia authentic