El cazador de amenazas cibernéticas FireEye hackeado por atacantes del Estado-nación
La firma de ciberseguridad FireEye, que ha sido destacada en la lucha contra las ciberamenazas de los estados nacionales, ha sido atacada por “un actor de amenazas altamente sofisticado, cuya disciplina, seguridad operativa y técnicas”, anunció el martes el director ejecutivo de la empresa, Kevin Mandia.
Esto indica que el ataque probablemente sea patrocinado por el estado, por una nación “con capacidades ofensivas de primer nivel”.
FireEye está investigando el incidente junto con la Oficina Federal de Investigaciones de los Estados Unidos y otros socios clave, incluido Microsoft.
El proveedor de seguridad se unió a Microsoft Intelligent Security Association (MISA) el año pasado, un ecosistema de proveedores de software independientes que han integrado sus soluciones para mejorar la ciberseguridad.
El subdirector de la División Cibernética del FBI, Matt Gorham, dijo que las indicaciones preliminares “muestran a un actor con un alto nivel de sofisticación consistente con un estado-nación”.
Microsoft confirmó que está ayudando con la investigación y señaló que los piratas informáticos utilizaron una combinación poco común de técnicas para robar las herramientas de FireEye.
“Este incidente demuestra por qué la industria de la seguridad debe trabajar en conjunto para defenderse y responder a las amenazas planteadas por adversarios bien financiados utilizando técnicas de ataque novedosas y sofisticadas”, dijo Microsoft en un comunicado ampliamente difundido.
Los piratas informáticos aparentemente adaptaron sus “capacidades de clase mundial específicamente para apuntar y atacar FireEye” y están altamente capacitados en seguridad operativa y ejecutados con disciplina y enfoque, señaló Mandia. Operaron clandestinamente y utilizaron “una combinación novedosa de técnicas que no habíamos visto nosotros ni nuestros socios en el pasado”.
El ataque “es una prueba más de que un pirata informático motivado podrá comprometer a cualquier organización, sin importar qué tan bien esté protegida”, dijo a TechNewsWorld Ilia Sotnikov, vicepresidenta de administración de productos de Netwrix.
No está muy claro qué buscaban los piratas informáticos.
Mandia dijo que principalmente buscaban información relacionada con ciertos clientes del gobierno de FireEye, en consonancia con un esfuerzo de espionaje de un estado-nación. FireEye tiene varios clientes gubernamentales.
Los piratas informáticos accedieron a algunos de los sistemas internos de FireEye, pero hasta el momento no hay evidencia de que se hayan robado datos o metadatos.
Por otro lado, FireEye dijo en su Formulario 8-K, presentado ante la Comisión de Bolsa y Valores de EE. UU., También el 8 de diciembre, que los piratas informáticos atacaron y accedieron a “ciertas herramientas de evaluación del Equipo Rojo” que imitan el comportamiento de muchos actores de amenazas cibernéticas. y se utilizan para probar la seguridad de los clientes de FireEye.
Ninguna de las herramientas contiene exploits de día cero: ataques a vulnerabilidades de hardware o software que solo se conocen cuando afectan a una víctima.
“No estamos seguros de si el atacante tiene la intención de utilizar nuestras herramientas del Equipo Rojo o divulgarlas públicamente”, afirmó FireEye.
“Supongo que las herramientas de evaluación robadas de FireEye Red Team se utilizarán … para crear un malware que explote vulnerabilidades comunes o modifique el malware existente para evitar la defensa cibernética de manera más eficiente”, dijo Sotnikov de Netwrix.
FireEye no ha visto ninguna evidencia de que ningún atacante haya utilizado las herramientas robadas hasta ahora, pero ha desarrollado más de 300 contramedidas a las herramientas de evaluación del Equipo Rojo robadas para sus clientes y la comunidad en general “por precaución”.
Estos se publican en la página de GitHub de la empresa. También ha implementado las contramedidas en sus productos de seguridad.
