La firma de ciberseguridad FireEye, que ha sido destacada en la lucha contra las ciberamenazas de los estados nacionales, ha sido atacada por “un actor de amenazas altamente sofisticado, cuya disciplina, seguridad operativa y técnicas”, anunció el martes el director ejecutivo de la empresa, Kevin Mandia.
Esto indica que el ataque probablemente sea patrocinado por el estado, por una nación “con capacidades ofensivas de primer nivel”.
FireEye está investigando el incidente junto con la Oficina Federal de Investigaciones de los Estados Unidos y otros socios clave, incluido Microsoft.
El proveedor de seguridad se unió a Microsoft Intelligent Security Association (MISA) el año pasado, un ecosistema de proveedores de software independientes que han integrado sus soluciones para mejorar la ciberseguridad.
El subdirector de la División Cibernética del FBI, Matt Gorham, dijo que las indicaciones preliminares “muestran a un actor con un alto nivel de sofisticación consistente con un estado-nación”.
Microsoft confirmó que está ayudando con la investigación y señaló que los piratas informáticos utilizaron una combinación poco común de técnicas para robar las herramientas de FireEye.
“Este incidente demuestra por qué la industria de la seguridad debe trabajar en conjunto para defenderse y responder a las amenazas planteadas por adversarios bien financiados utilizando técnicas de ataque novedosas y sofisticadas”, dijo Microsoft en un comunicado ampliamente difundido.
Los piratas informáticos aparentemente adaptaron sus “capacidades de clase mundial específicamente para apuntar y atacar FireEye” y están altamente capacitados en seguridad operativa y ejecutados con disciplina y enfoque, señaló Mandia. Operaron clandestinamente y utilizaron “una combinación novedosa de técnicas que no habíamos visto nosotros ni nuestros socios en el pasado”.
El ataque “es una prueba más de que un pirata informático motivado podrá comprometer a cualquier organización, sin importar qué tan bien esté protegida”, dijo a TechNewsWorld Ilia Sotnikov, vicepresidenta de administración de productos de Netwrix.
No está muy claro qué buscaban los piratas informáticos.
Mandia dijo que principalmente buscaban información relacionada con ciertos clientes del gobierno de FireEye, en consonancia con un esfuerzo de espionaje de un estado-nación. FireEye tiene varios clientes gubernamentales.
Los piratas informáticos accedieron a algunos de los sistemas internos de FireEye, pero hasta el momento no hay evidencia de que se hayan robado datos o metadatos.
Por otro lado, FireEye dijo en su Formulario 8-K, presentado ante la Comisión de Bolsa y Valores de EE. UU., También el 8 de diciembre, que los piratas informáticos atacaron y accedieron a “ciertas herramientas de evaluación del Equipo Rojo” que imitan el comportamiento de muchos actores de amenazas cibernéticas. y se utilizan para probar la seguridad de los clientes de FireEye.
Ninguna de las herramientas contiene exploits de día cero: ataques a vulnerabilidades de hardware o software que solo se conocen cuando afectan a una víctima.
“No estamos seguros de si el atacante tiene la intención de utilizar nuestras herramientas del Equipo Rojo o divulgarlas públicamente”, afirmó FireEye.
“Supongo que las herramientas de evaluación robadas de FireEye Red Team se utilizarán … para crear un malware que explote vulnerabilidades comunes o modifique el malware existente para evitar la defensa cibernética de manera más eficiente”, dijo Sotnikov de Netwrix.
FireEye no ha visto ninguna evidencia de que ningún atacante haya utilizado las herramientas robadas hasta ahora, pero ha desarrollado más de 300 contramedidas a las herramientas de evaluación del Equipo Rojo robadas para sus clientes y la comunidad en general “por precaución”.
Estos se publican en la página de GitHub de la empresa. También ha implementado las contramedidas en sus productos de seguridad.
“Nuestra prioridad número uno es trabajar para fortalecer la seguridad de nuestros clientes y la comunidad en general”, afirmó Mandia. “Esperamos que al compartir los detalles de nuestra investigación, toda la comunidad esté mejor equipada para luchar y derrotar los ciberataques”.
FireEye y otros miembros de la comunidad de seguridad seguirán atentos a cualquier uso de las herramientas robadas.
La compañía continuará compartiendo y refinando cualquier mitigación adicional para esas herramientas a medida que estén disponibles, tanto pública como directamente con sus socios de seguridad.
Dado que FireEye había desarrollado 300 contramedidas y las había incorporado a sus productos de seguridad, el ataque debe haber ocurrido hace varios meses.
Sin embargo, la directora de comunicaciones corporativas de FireEye, Melanie Lombardi, se negó a compartir más detalles sobre el ataque con TechNewsWorld.
Impacto del Hack
“El hack de FireEye no es el primero que le ocurre a una empresa de ciberseguridad, pero puede tener un efecto a largo plazo en organizaciones de todo el mundo”, dijo Sotnikov de Netwrix.
“Si bien no es una comparación directa con la filtración de herramientas de la NSA robadas de Shadow Brokers en 2017, este ataque también puede hacer que las herramientas y técnicas de ataque avanzadas estén disponibles para una población más amplia de ciberdelincuentes menos sofisticados”.
Shadow Brokers es un grupo de piratas informáticos que publicó varias filtraciones de herramientas de piratería desarrolladas por la Agencia de Seguridad Nacional de EE. UU.
Los proveedores “deberían aprovechar inmediatamente las contramedidas ofrecidas por el equipo de FireEye y analizar las detecciones publicadas en el repositorio GitHub de la empresa”, recomendó Sotnikov.
Las organizaciones “deben estar atentas a las actualizaciones tanto de las herramientas de seguridad como de otros sistemas y aplicaciones para mitigar los posibles riesgos y considerar la posibilidad de aplicar parches de inmediato”. El riesgo de ataques con las herramientas de Red Teams robadas es “bastante real”.
Las acciones de FireEye, Inc. (Nasdaq: FEYE) bajaron un 13 por ciento al cierre de la jornada de hoy tras el anuncio del ataque.
Por Richard Adhikari