Ciberataque a FireEye compromete herramientas de seguridad del Red Team

La firma de ciberseguridad FireEye ha sido golpeada en lo que el CEO Kevin Mandia describió como un ciberataque altamente dirigido. El atacante apuntó y pudo acceder a ciertas herramientas de evaluación del Red Team que la empresa utiliza para probar la seguridad de sus clientes. Mandia dijo el martes que, basándose en las técnicas y […]

La firma de ciberseguridad FireEye ha sido golpeada en lo que el CEO Kevin Mandia describió como un ciberataque altamente dirigido. El atacante apuntó y pudo acceder a ciertas herramientas de evaluación del Red Team que la empresa utiliza para probar la seguridad de sus clientes.

Mandia dijo el martes que, basándose en las técnicas y la sofisticación del ataque, cree que los actores maliciosos estaban patrocinados ”por un estado”. El atacante buscaba principalmente datos relacionados con ciertos clientes del gobierno, según FireEye. El truco utilizado “usó una combinación novedosa de técnicas que no habíamos visto nosotros o nuestros socios en el pasado”, dijo.

Luego de ser publicado en medios el ataque, twitter se encendió y esto fue lo que postearon algunos reporteros de ciberinteligencia internacional.

Frases que se afirman desde la misma compañía: El ataque es “diferente de las decenas de miles de incidentes a los que hemos respondido a lo largo de los años”, debido a su sofisticación, dijo Mandia en una publicación del martes. “Los atacantes adaptaron sus capacidades de clase mundial específicamente para apuntar y atacar a FireEye. 

Están altamente capacitados en seguridad operacional y se ejecutan con disciplina y enfoque. Operaron clandestinamente, utilizando métodos que contrarrestan las herramientas de seguridad y el examen forense”.

Las herramientas específicas brindan servicios de seguridad de diagnóstico a los clientes de FireEye, imitando el comportamiento de los actores de amenazas, dijo Mandia. 

Las herramientas robadas van desde simples scripts utilizados para automatizar el reconocimiento hasta marcos completos que son similares a las tecnologías disponibles públicamente como CobaltStrike y Metasploit.

Ninguna de estas herramientas contiene exploits de día cero, enfatizó. FireEye tampoco ha visto evidencia hasta la fecha de que un atacante haya utilizado las herramientas robadas del Red Team.

Sin embargo, dicho uso de las herramientas podría permitir a los atacantes hacerse cargo de los sistemas, advirtió un aviso de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del martes.

Mientras tanto, Brandon Hoffman, director de seguridad de la información de Netenrich, afirmó en una conversación vía email que los atacantes “lo más probable es que… planeen utilizar este tipo de herramientas para cubrir sus huellas y no exponer sus propias herramientas personalizadas y guardarlas para ataques especiales o ataques de segunda etapa”.

FireEye dijo que continuará monitoreando cualquier actividad relacionada con las herramientas del Red Team filtradas, y actualmente está investigando el ataque en coordinación con la Oficina Federal de Investigaciones (FBI) y otros socios como Microsoft.

“No estamos seguros de si el atacante tiene la intención de utilizar nuestras herramientas o divulgarlas públicamente”, afirmó el CEO de la compañía. “No obstante, por precaución, hemos desarrollado más de 300 contramedidas para que nuestros clientes y la comunidad en general las utilicen a fin de minimizar el impacto potencial del robo de estas herramientas”.

Además, la empresa ha desarrollado contramedidas que pueden detectar o bloquear el uso de herramientas del Red Team robadas. Estas contramedidas también están disponibles públicamente en GitHub.

Los datos del cliente parecen no verse afectados a partir de este momento, dijo Mandia: “Si bien el atacante pudo acceder a algunos de nuestros sistemas internos, en este punto de nuestra investigación, no hemos visto evidencia de que el atacante exfiltró datos de nuestros sistemas primarios que almacenar información del cliente de nuestra respuesta a incidentes o compromisos de consultoría, o los metadatos recopilados por nuestros productos en nuestros sistemas dinámicos de inteligencia de amenazas ”, dijo.

Uno de los problemas de este ciberataque, es que la compañía en cuestión tiene una larga lista de clientes como Sony, Equifax, Retail y Salud no solo en Estados Unidos, sino que en más de 100 países. Sin duda es un caso que da para hablar, por lo que estamos a la espera del desarrollo de la noticia.