FireEye Breach Fallout aún por sentir



Las secuelas de la violación de FireEye por parte de la agencia de servicios exteriores de Rusia generan preocupaciones sobre lo que podrían hacer los atacantes a continuación y cómo defenderse.

La revelación de FireEye a principios de esta semana de que había sido infiltrada por una operación de piratería en un estado-nación que robó sus herramientas de piratería del equipo rojo sirvió como un escalofriante recordatorio para la industria de la seguridad de que nadie es impermeable a un ataque, ni siquiera una importante empresa de respuesta a incidentes. más acostumbrado a investigar y limpiar las brechas de otras organizaciones de alto perfil.

Varios informes y fuentes dicen que la agencia de servicio exterior SVR de Rusia, también conocida como APT 29 o Cozy Bear, fue el perpetrador. Todavía hay muchas incógnitas sobre el ataque: cómo los atacantes obtuvieron acceso inicial a los sistemas de FireEye, qué defensas pasaron por alto y cómo, si se usaron días cero de Windows y qué información interna accedieron sobre qué. Kevin Mandia, CEO de FireEye, describió como su objetivo remaining: «ciertos clientes gubernamentales» de la empresa.

Mientras que FireEye intentó eliminar la capacidad del atacante para usar sus herramientas en ataques mediante la publicación mitigaciones detalladasLos expertos dicen que APT29 / Cozy Bear podría usar las herramientas robadas del equipo rojo para obtener información sobre las debilidades de sus clientes o incluso como un medio para causar confusión y sembrar desconfianza – marcas registradas de la inteligencia rusa – de FireEye y las herramientas mismas, dicen los expertos.

También existe el riesgo de que las organizaciones que no están sintonizadas con la brecha de FireEye confundan las maniobras del equipo rojo controladas por inteligencia rusa con una actividad legítima del equipo rojo de FireEye, por ejemplo, señala Steve Ryan, ex subdirector del Centro de Operaciones de Amenazas de la Agencia de Seguridad Nacional, y ahora CEO y cofundador de la startup de seguridad Trinity Cyber.

«Eso pone todo en cuestión. Ese es el juego de Rusia», dice. «Sembrar desconfianza en su nombre (de FireEye) y el concepto de equipo rojo», dice, es otra forma potencial en la que podrían infligir dolor si aumentan las preocupaciones sobre la exposición de FireEye.

«Luego existe el riesgo de que esas herramientas se conviertan en armas: si estas herramientas se pueden convertir de manera que causen daño de alguna manera y se vuelvan a poner en FireEye, o si tienen éxito (en los ataques) porque parece una herramienta FireEye», Dice Ryan.

También existe una oportunidad de recopilación de información para los atacantes con las herramientas robadas. Sounil Yu, CISO residente en la firma de cash de riesgo YL Ventures, dice que existe la posibilidad de que los atacantes obtengan información sobre los clientes de FireEye cuyas redes han sido investigadas por FireEye en ejercicios del equipo rojo. «Ellos (FireEye) van a tener herramientas que funcionan» con las agencias gubernamentales que los contratan para el equipo rojo, dice.

«La presunción (es) de que estas herramientas son efectivas» contra los objetivos, dice. «Esta (información) les da (a los atacantes) la oportunidad de apuntar de manera más eficiente» ahora, dice.

Dmitri Alperovitch, ex director de tecnología y cofundador de CrowdStrike, dice que cree que el robo de herramientas del equipo rojo probablemente no formaba parte del program first de los atacantes. «De hecho, creo que las herramientas del equipo rojo fueron probablemente una captura oportunista: &#39Mientras estamos allí, también podríamos descargarlas&#39».

Él dice que no es sorprendente que el SVR ruso empleara métodos y tácticas de ataque novedosas y nunca antes vistas para la operación de ataque FireEye. «La infraestructura que configuraron para este ataque se hizo exclusivamente para (apuntar) a FireEye», dice. «SVR es muy bueno, son uno de los mejores en inteligencia rusa y siempre son muy sigilosos. En este caso particular, tienen un objetivo de muy alto perfil, un objetivo muy difícil, y para tener éxito … necesitan para traer su juego A «.

Los detalles de los métodos utilizados en el ataque siguen siendo una pieza clave que falta y que Alperovitch y otros expertos en seguridad esperan que FireEye finalmente revele públicamente.

«Espero que los compartan», dice Alperovitch, y agrega que la divulgación de mitigación de FireEye también fue importante. «Ellos (FireEye) merecen mucho crédito por las mitigaciones por las herramientas robadas … Ese fue un muy buen paso».

Mandia de FireEye de hecho ha recibido muchos apoyos de expertos en seguridad, incluso de empresas rivales, por su divulgación relativamente detallada del ataque. «Lo que fue realmente genial es que no solo publicaron las herramientas del equipo rojo que robaron los rusos, sino las contramedidas de esas herramientas», dice Ryan de Trinity Cyber. Ese no fue el caso con la violación de herramientas de la NSA, señala. «Todo el mundo estaba por su cuenta» para defenderse de los ataques que los usaban, incluido el infame exploit EternalBlue.

Todavía no está claro si APT29 accedió a información confidencial del producto o información de FireEye sobre otros actores de amenazas. Yu, de YL Ventures, dice que el acceso a las suites de productos de FireEye podría permitir a APT29 encontrar formas de eludir la tecnología, por ejemplo. «Y FireEye dedica mucho tiempo a recopilar información y tácticas de otros grupos de actores de amenazas. Eso sería como un libro de jugadas de todos sus competidores» para los atacantes, dice.

Cualquier empresa de seguridad es un gran objetivo de atacantes decididos. «Las empresas de seguridad son siempre uno de los principales objetivos debido a la cantidad de información que tienen y el acceso que tienen a las redes de los clientes. Obviamente, la capacidad de acceder a un proveedor de seguridad puede brindarle información sobre las contramedidas que tienen y (luego) puede evadirlos para entrar en las redes de sus clientes «, dice Alperovitch.

Por su parte, FireEye dice que actualmente no puede proporcionar ninguna información adicional sobre el ataque más allá de la publicación de divulgación de Mandia.

«Estamos investigando activamente este incidente con nuestros socios de Microsoft y coordinando con el FBI. Tenga en cuenta que puede haber algún retraso en nuestra capacidad para compartir esa información, ya que no queremos hacer nada que interfiera con la capacidad del FBI para llevar a cabo su investigación en curso por separado «, dijo un portavoz de FireEye. «Queremos estar absolutamente seguros de que obtenemos toda la evidencia disponible para avanzar más en este caso, y algunas revelaciones en este momento pondrían en peligro esa recopilación».

No el primero
FireEye no está solo. Varias empresas de seguridad han sido violadas en los últimos 10 años, incluidas Little bit9 (ahora parte de VMware), Kaspersky, McAfee, RSA y Symantec.

«Es de esperar que todas las empresas de seguridad ahora estén al tanto y piensen detenidamente sobre cómo protegerse y cómo estar alerta. La forma en que responda es indicativo de lo bueno que es», dice Alperovitch.

Las organizaciones empresariales, especialmente los clientes de FireEye, deben aplicar las mitigaciones que lanzó FireEye, así como asegurarse de haber aplicado parches de seguridad. Luego existe la posibilidad de un próximo parche de Microsoft si de hecho hubo un día cero involucrado, dicen los expertos.

«El hecho de que Microsoft esté involucrado» indica que el ataque podría haber empleado una vulnerabilidad de Windows previamente desconocida, señala Peter Firstbrook, vicepresidente de investigación de Gartner. «Sospecho que vamos a descubrir que hubo un día cero».

Kelly Jackson Higgins es la editora ejecutiva de Dim Studying. Es una periodista veterana de tecnología y negocios galardonada con más de dos décadas de experiencia en la elaboración de informes y la edición de varias publicaciones, entre las que se incluyen Community Computing, Protected Company … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic