El cazador de amenazas cibernéticas FireEye hackeado por atacantes del Estado-nación

 FireEye dice que ha sido pirateado por el estado-nación

La empresa de ciberseguridad FireEye que ha sido prominente en la lucha contra las amenazas cibernéticas del estado-nación, ha sido atacada por "un actor de amenazas altamente sofisticado , uno cuya disciplina, seguridad operativa y técnicas, anunció el martes el director ejecutivo de la empresa Kevin Mandia .

Esto indica que el ataque probablemente esté patrocinado por el estado, por una nación "con capacidades ofensivas de primer nivel".

FireEye está investigando el incidente junto con la Oficina Federal de Investigaciones de Estados Unidos y otros socios clave, incluido Microsoft.

El proveedor de seguridad se unió a la Asociación de Seguridad Inteligente de Microsoft ( MISA ) el año pasado, un ecosistema de proveedores de software independientes que han integrado sus soluciones para mejorar la seguridad cibernética.

El subdirector de la División Cibernética del FBI, Matt Gorham, dijo que las indicaciones preliminares "muestran a un actor con un alto nivel de sofisticación consistente con un estado-nación ".

Microsoft confirmó que está ayudando con la investigación y señaló que los piratas informáticos utilizaron una combinación poco común de técnicas para robar las herramientas de FireEye.

" Este incidente demuestra por qué el La industria de la seguridad debe trabajar en conjunto para defenderse y responder a las amenazas planteadas por adversarios bien financiados utilizando técnicas de ataque novedosas y sofisticadas ", dijo Microsoft en una declaración ampliamente divulgada.

Los piratas informáticos aparentemente adaptaron sus" capacidades de clase mundial específicamente para apuntar y atacar FireEye "y están altamente capacitados en seguridad operativa y ejecutados con disciplina y enfoque, señaló Mandia. Operaron clandestinamente y utilizaron "una combinación novedosa de técnicas que no habíamos visto nosotros ni nuestros socios en el pasado".

El ataque "es una prueba más de que un hacker motivado podrá comprometer a cualquier organización, sin importar lo bien que esté. protegido ", dijo a TechNewsWorld Ilia Sotnikov, vicepresidenta de gestión de productos en Netwrix .

Netwrix desarrolla software de gestión de cambios para ayudar con la seguridad y la auditoría de cumplimiento.

Acceso a las herramientas del 'Equipo Rojo'

No está muy claro qué buscaban los piratas informáticos.

Mandia dijo que buscaban principalmente información relacionada con ciertos clientes del gobierno de FireEye, de acuerdo con un esfuerzo de espionaje de un estado-nación. FireEye tiene varios clientes gubernamentales.

Los piratas informáticos accedieron a algunos de los sistemas internos de FireEye, pero hasta ahora no hay evidencia de que se hayan robado datos o metadatos.

Por otro lado, FireEye dijo en su Formulario 8 -K presentado ante la Comisión de Bolsa y Valores de EE. UU., También el 8 de diciembre, que los piratas informáticos atacaron y accedieron a "ciertas herramientas de evaluación del Equipo Rojo" que imitan el comportamiento de muchos actores de amenazas cibernéticas y se utilizan para probar los clientes de FireEye seguridad.

Ninguna de las herramientas contiene exploits de día cero: ataques a vulnerabilidades de hardware o software que solo se conocen cuando afectan a la víctima.

"No estamos seguros si el atacante tiene la intención de utilizar nuestro equipo rojo herramientas o divulgarlas públicamente ", afirmó FireEye.

" Supongo que las herramientas de evaluación robadas de FireEye Red Team se utilizarán … para crear un malware que explote vulnerabilidades comunes o modifique el malware existente para evitar la ciberdefensa de manera más eficiente, "Netwrix es tan tnikov dijo.

FireEye no ha visto ninguna evidencia de que ningún atacante haya utilizado las herramientas robadas hasta ahora, pero ha desarrollado más de 300 contramedidas a las herramientas de evaluación robadas del Equipo Rojo para sus clientes y la comunidad en general "de una abundancia de precaución ".

Estos se publican en la página de GitHub de la empresa . También ha implementado las contramedidas en sus productos de seguridad.

"Nuestra prioridad número uno es trabajar para fortalecer la seguridad de nuestros clientes y la comunidad en general", afirmó Mandia. "Esperamos que, al compartir los detalles de nuestra investigación, toda la comunidad esté mejor equipada para combatir y derrotar los ciberataques".

FireEye y otros miembros de la comunidad de seguridad seguirán atentos a cualquier uso de las herramientas robadas. .

La compañía continuará compartiendo y perfeccionando cualquier mitigación adicional para esas herramientas a medida que estén disponibles, tanto pública como directamente con sus socios de seguridad.

Dado que FireEye había desarrollado 300 contramedidas y las había incorporado a sus productos de seguridad, el ataque debe haber ocurrido hace varios meses.

Sin embargo, la directora de comunicaciones corporativas de FireEye, Melanie Lombardi, se negó a compartir más detalles sobre el ataque con TechNewsWorld.

Impacto del hack

"El hack de FireEye no es el primero que le ocurre a una empresa de ciberseguridad, pero puede tener un efecto a largo plazo en organizaciones de todo el mundo", dijo Sotnikov de Netwrix.

"Aunque no es un En comparación directa con la filtración de herramientas de la NSA robadas de Shadow Brokers en 2017, este ataque también puede hacer que las herramientas y técnicas de ataque avanzadas estén disponibles para una población más amplia de ciberdelincuentes menos sofisticados ".

The Shadow Brokers es un grupo de hackers que publicó varias filtraciones de piratería herramientas desarrolladas por la Agencia de Seguridad Nacional de EE. UU.

Los proveedores "deberían aprovechar inmediatamente las contramedidas ofrecidas por el equipo de FireEye y analizar las detecciones publicadas en el repositorio de GitHub de la empresa", recomendó Sotnikov.

Las organizaciones "deberían estar atentas a las actualizaciones tanto para las herramientas de seguridad como para otros sistemas y aplicaciones para mitigar los posibles riesgos y considerar la posibilidad de aplicar parches de inmediato ". El riesgo de ataques utilizando las herramientas de Red Teams robadas es "bastante real".

Las acciones de FireEye, Inc. (Nasdaq: FEYE) bajaron un 13 por ciento al cierre de las operaciones de hoy tras el anuncio del ataque.


Leave a Reply

Your email address will not be published. Required fields are marked *