empresa de seguridad cibernética ojo de fuegoEl CEO de la empresa, Kevin Mandia, se ha destacado en la lucha contra las amenazas cibernéticas de los estados nacionales, siendo atacado por «un actor de amenazas altamente sofisticado cuya disciplina, seguridad operativa y tecnología» Anunciar Martes.
Esto sugiere que el ataque probablemente fue patrocinado por un país «con las mejores capacidades ofensivas».
FireEye está investigando el incidente con el FBI y otros socios clave, incluido Microsoft.
El proveedor de seguridad se une a la Asociación de seguridad inteligente de Microsoft (Misa) el año pasado, un ecosistema de proveedores de software independientes integró sus soluciones para mejorar la ciberseguridad.
Según los informes, Matt Gorham, subdirector de la división cibernética del FBI, dijo que las indicaciones iniciales «sugieren que el actor tiene un alto nivel de sofisticación consistente con un estado-nación».
Microsoft confirmó que estaba ayudando en la investigación y señaló que los piratas informáticos utilizaron una rara combinación de técnicas para robar las herramientas de FireEye.
“Este incidente demuestra por qué la industria de la seguridad debe trabajar en conjunto para usar técnicas de ataque novedosas y sofisticadas para defenderse y contrarrestar las amenazas planteadas por adversarios bien financiados”, dijo Microsoft en un comunicado ampliamente difundido.
Aparentemente, los piratas personalizaron sus «capacidades de clase mundial apuntando y atacando específicamente a FireEye», señaló Mandia, y estaban altamente capacitados en seguridad operativa y se ejecutaron de manera disciplinada y enfocada. Operan en secreto y utilizan «una combinación novedosa de tecnologías que ni nosotros ni nuestros socios hemos visto en el pasado».
El ataque «es una prueba más de que un pirata informático motivado podrá comprometer cualquier organización, sin importar qué tan bien protegida esté», Ilia Sotnikov, vicepresidente de gestión de productos. la reddijo a TechNewsWorld.
Netwrix desarrolla software de gestión de cambios para ayudar con las auditorías de seguridad y cumplimiento.
Accede a la herramienta Red Team
No está claro cuál era el propósito del hacker.
Mandia dijo que buscaban principalmente información relacionada con ciertos clientes del gobierno de FireEye, consistente con el espionaje del estado-nación. FireEye tiene varios clientes gubernamentales.
Los piratas informáticos accedieron a algunos de los sistemas internos de FireEye, pero hasta ahora no hay evidencia de que se hayan robado datos o metadatos.
Por otro lado, FireEye en su Formulario 8-KTambién en una presentación del 8 de diciembre ante la Comisión de Bolsa y Valores de EE. UU., los piratas informáticos apuntaron y accedieron a «ciertas herramientas de evaluación del equipo rojo» que imitan el comportamiento de muchos actores de amenazas cibernéticas y se utilizan para probar la seguridad de los clientes de FireEye.
Ninguna de estas herramientas contiene exploits de día cero: ataques a vulnerabilidades de hardware o software que solo se conocen cuando la víctima es atacada.
«No estamos seguros de si los atacantes tenían la intención de usar nuestras herramientas de equipo rojo o de divulgarlas públicamente», dijo FireEye.
Sotnikov de Netwrix dijo: «Creo que la herramienta de evaluación FireEye Red Team robada se usará para… crear un malware que explotará las vulnerabilidades comunes o adaptará el malware existente para eludir las defensas de la red de manera más efectiva».
Hasta el momento, FireEye no ha visto ninguna evidencia de que los atacantes utilicen herramientas robadas, pero «por precaución» ha desarrollado más de 300 contramedidas contra las herramientas de evaluación del equipo rojo robadas para sus clientes y la comunidad en general.
Estos están en el comunicado público de la compañía. página de GitHubTambién implementa contramedidas en sus productos de seguridad.
«Nuestra principal prioridad es trabajar para mejorar la seguridad de nuestros clientes y de la comunidad en general», dijo Mandia. «Esperamos que al compartir los detalles de nuestra investigación, toda la comunidad pueda combatir y derrotar mejor los ataques cibernéticos».
FireEye y el resto de la comunidad de seguridad continuarán monitoreando de cerca cualquier uso de herramientas robadas.
La compañía continuará compartiendo y refinando cualquier mitigación adicional para estas herramientas de forma pública y directa con sus socios de seguridad.
Dado que FireEye ha desarrollado e incorporado 300 contramedidas en sus productos de seguridad, el ataque debe haber ocurrido hace varios meses.
Sin embargo, la directora de comunicaciones corporativas de FireEye, Melanie Lombardi, se negó a compartir más detalles sobre el ataque con TechNewsWorld.
Impacto de la piratería
Sotnikov de Netwrix dijo: «El ataque de FireEye no es la primera vez que ocurre una empresa de ciberseguridad, pero podría tener implicaciones a largo plazo para las organizaciones de todo el mundo».
«Si bien no es directamente comparable con las herramientas robadas de la NSA filtradas por Shadow Brokers en 2017, este ataque también podría hacer que las herramientas y técnicas de ataque avanzadas sean accesibles para una gama más amplia de ciberdelincuentes menos sofisticados».
Shadow Brokers es un grupo de piratería que publicó filtraciones de múltiples herramientas de piratería desarrolladas por la Agencia de Seguridad Nacional.
Los proveedores «deben utilizar de inmediato las contramedidas proporcionadas por el equipo de FireEye y analizar los resultados de detección publicados en el repositorio de GitHub de la empresa», aconsejó Sotnikov.
Las organizaciones «deben prestar mucha atención a las actualizaciones de las herramientas de seguridad y otros sistemas y aplicaciones para mitigar los posibles riesgos y considerar la aplicación de parches de inmediato».
Las acciones de FireEye, Inc. (NASDAQ: FEYE) cerraron con una caída del 13% hoy después de que se anunciara el ataque.
