FireEye, una dintre cele mai importante firme de securitate cibernetică din lume cu sediul în Milpitas, California, a precizat că o grupare sponsorizată statal a obținut accesul la instrumentele de testare a securității cibernetice și a căutat să identifice informații despre clienții companiei din sfera guvernamentală.
Atacatorii au folosit un set nou de tehnici, tactici și proceduri necunoscute până în prezent, adaptate în mod special pentru a ataca compania FireEye, fiind posibil ca atacul să fi fost realizat de o grupare de tip APT ce deține capabilități ofensive avansate.
Conform aspectelor relatate într-un comunicat de Kevin MANDIA, CEO FireEye, atacul este diferit de zecile de mii de incidente care au fost investigate de-a lungul anilor, iar atacatorii au avut pregătire în securitatea operațională și misiunea a fost executată cu disciplină și concentrare.
În urma agresiunii cibernetice, atacatorii au obținut accesul la unele instrumente de tip “Red Team” capabile să ofere servicii esențiale de securitate și de diagnostic clienților companiei. Acestea includ scripturi, instrumente, scanere și tehnici, fiind utilizate pentru testarea infrastructurii clienților în vederea identificării vulnerabilităților de securitate, sau a deficiențelor în configurare, care ar putea conduce la scurgeri de date. De interes este că niciunul dintre aceste instrumente nu au conținut exploit-uri de tip “zero-day”.
Pe platforma Github, compania a lansat un set de contramăsuri care pot fi utilizate pentru a bloca sau detecta utilizarea instrumentelor de tip “Red Team” folosite de aceasta. Contramăsurile publicate includ multe reguli Snort și Yara, ce conțin descrieri predefinite ale malware-ului și ale tehnicilor de atac şi care pot fi importate în software-ul de detectare a intruziunilor pentru identificare activităților malițioase.
Identitatea potențială a atacatorilor nu a fost dezvăluită. Cu toate acestea, publicația New York Times precizează că FBI cooperează în acest caz cu specialiști din Rusia, dar asta nu înseamnă că anchetatorii au dovezi concrete. Activitatea de atribuire a agresiunilor cibernetice este dificilă și, în multe cazuri, prea puțin concludentă.
Țintă cu profil ridicat
Atacul este semnificativ, deoarece FireEye este dintre firmele de securitate cibernetică de top, contractate în mod regulat pentru a ajuta alte organizații să răspundă agresiunilor cibernetice și să investigheze scurgerile de date.
Compania publică frecvent rapoarte foarte detaliate despre grupări de tip APT afiliate Chinei, Rusiei, Coreei de Nord, Iran, etc., prin care dezvăluie tactici, tehnici și proceduri utilizate, făcând mai ușor pentru potențialele victime să identifice activități suspecte și mai dificil pentru atacatori să reușească sau să treacă neobservați.
Operațiunea pare a fi cel mai mare furt cunoscut al unor instrumente super-sofisticate de securitate cibernetică din ultimii ani, de la atacurile realizate cu succes asupra Agenției de Securitate Națională (NSA), respectiv asupra Agenției Centrale de Informații (CIA).
FireEye se alătură unei liste lungi de companii de securitate cibernetică – inclusiv RSA și Kaspersky – care au fost ținta unor agresiuni cibernetice realizate de grupări sponsorizate statal.
Compania FireEye a contactat Biroul Federal de Investigații (FBI), iar Microsoft ajută la anchetă. Prețul acțiunilor FireEye a scăzut cu 14% în urma anunțului.
Dacă v-a plăcut acest articol, sau dacă doriți să vă implicați în proiectul SecurityPatch.ro, ne puteți contacta pe [email protected]. Ne găsești și pe Twitter sau Facebook.