FireEye, una de las firmas de ciberseguridad más grandes del mundo, dijo el martes que se convirtió en víctima de un ataque patrocinado por el estado por un «actor de amenazas altamente sofisticado» que robó su arsenal de herramientas de prueba de penetración Red Team que utiliza para probar las defensas de sus clientes.
La compañía dijo que está investigando activamente la violación en coordinación con la Oficina Federal de Investigaciones (FBI) de EE. UU. Y otros socios clave, incluido Microsoft.
No identificó a un culpable específico que podría estar detrás de la infracción o revelar cuándo tuvo lugar exactamente el ataque.
Sin embargo, The New York Times y The Washington Post informaron que el FBI entregó la investigación a sus especialistas rusos y que es probable que el ataque sea obra de APT29 (o Cozy Bear), piratas informáticos patrocinados por el estado afiliados al Servicio de Inteligencia Exterior SVR de Rusia. – citando fuentes no identificadas.
Al momento de escribir este artículo, las herramientas de piratería no se han explotado en la naturaleza, ni contienen exploits de día cero, aunque los actores maliciosos en posesión de estas herramientas podrían abusar de ellas para subvertir las barreras de seguridad y tomar el control de los sistemas específicos.
Las organizaciones de ciberseguridad suelen utilizar las herramientas Red Team para imitar las que se utilizan en los ataques del mundo real con el objetivo de evaluar las capacidades de detección y respuesta de una empresa y evaluar la postura de seguridad de los sistemas empresariales.
La compañía dijo que el adversario también accedió a algunos sistemas internos y buscó principalmente información sobre clientes del gobierno, pero agregó que no hay evidencia de que el atacante haya extraído información del cliente relacionada con la respuesta a incidentes o compromisos de consultoría o los metadatos recopilados por su software de seguridad.
«Este ataque es diferente de las decenas de miles de incidentes a los que hemos respondido a lo largo de los años», escribió el director ejecutivo de FireEye, Kevin Mandia, en una publicación de blog.
«Los atacantes adaptaron sus capacidades de clase mundial específicamente para apuntar y atacar FireEye. Están altamente capacitados en seguridad operativa y ejecutados con disciplina y enfoque. Operaron clandestinamente, utilizando métodos que contrarrestan las herramientas de seguridad y el examen forense. Usaron una combinación novedosa de técnicas no presenciadas por nosotros o nuestros socios en el pasado «.
Las herramientas de Red Team a las que se accede abarcan desde los scripts utilizados para automatizar el reconocimiento hasta marcos completos que son similares a las tecnologías disponibles públicamente como CobaltStrike y Metasploit. Algunas otras son versiones modificadas de herramientas disponibles públicamente diseñadas para evadir los mecanismos básicos de detección de seguridad, mientras que el resto son utilidades de ataque patentadas desarrolladas internamente.
Para minimizar el impacto potencial del robo de estas herramientas, la compañía también ha lanzado 300 contramedidas , incluida una lista de 16 fallas críticas previamente reveladas que deben abordarse para limitar la efectividad de las herramientas del Equipo Rojo.
En todo caso, el desarrollo es otro indicio de que ninguna empresa, contando las empresas de ciberseguridad, es inmune a los ataques dirigidos.
Las principales empresas de ciberseguridad como Kaspersky Lab, RSA Security, Avast y Bit9 han sido víctimas de ataques dañinos durante la última década.
El incidente también tiene leves similitudes con la filtración de herramientas de piratería ofensiva de The Shadow Brokers utilizadas por la Agencia de Seguridad Nacional de EE. UU. En 2016, que también incluyó el exploit de día cero EternalBlue que luego se utilizó como arma para distribuir el ransomware WannaCry .
«Las compañías de seguridad son un objetivo primordial para los operadores del Estado-nación, por muchas razones, pero no menos importante de todo es [la] capacidad de obtener información valiosa sobre la manera de eludir los controles de seguridad dentro de sus objetivos finales», co-fundador de CrowdStrike Dmitri Alperovitch dijo .
El lanzamiento de herramientas del equipo rojo robadas por el adversario «contribuirá en gran medida a mitigar el impacto potencial de esta intrusión para las organizaciones de todo el mundo», agregó.