FireEye, una compañía de $ 3.5 mil millones que ayuda a los clientes a responder a algunos de los ataques cibernéticos más sofisticados del mundo, ha sido pirateada, probablemente por un estado-nación bien dotado que se apoderó de las herramientas de ataque del “equipo rojo” utilizadas para perforar las defensas de la red .
La revelación, hecha en un presione soltar publicado después del cierre de los mercados de valores el martes, es un hecho significativo. Con una capitalización de mercado de $ 3.5 mil millones y algunos de los empleados más experimentados en la industria de la seguridad, las defensas de la compañía son formidables. A pesar de esto, los atacantes pudieron meterse en la red fuertemente fortificada de FireEye utilizando técnicas que nadie en la compañía había visto antes.
El hack también plantea el fantasma de que un grupo que ya era capaz de penetrar en una empresa con la destreza y los recursos de seguridad de FireEye ahora está en posesión de herramientas de ataque patentadas, un robo que podría convertir a los hackers en una amenaza aún mayor para las organizaciones de todo el mundo. FireEye dijo que las herramientas robadas no incluían exploits de día cero. Las acciones de FireEye cayeron alrededor de un 7 por ciento en operaciones extendidas luego de la divulgación.
Hasta ahora, la compañía no ha visto evidencia de que las herramientas se estén utilizando activamente en la naturaleza y no está segura de si los atacantes planean usarlas. Estas herramientas son utilizadas por los denominados equipos rojos, que imitan a los piratas informáticos maliciosos en ejercicios de entrenamiento que simulan ataques de piratería en el mundo real. FireEye ha lanzado un tesoro de firmas y otras contramedidas que los clientes pueden utilizar para detectar y repeler los ataques en caso de que se utilicen las herramientas. Algunos investigadores que revisaron las contramedidas dijeron que parecían mostrar que las herramientas no eran particularmente sensibles
El comunicado del martes fue escrito por el CEO de FireEye, Kevin Mandia. El escribio:
Basándome en mis 25 años en seguridad cibernética y respondiendo a incidentes, he llegado a la conclusión de que estamos presenciando un ataque de una nación con capacidades ofensivas de primer nivel. Este ataque es diferente a las decenas de miles de incidentes a los que hemos respondido a lo largo de los años. Los atacantes adaptaron sus capacidades de clase mundial específicamente para apuntar y atacar a FireEye. Están altamente capacitados en seguridad operacional y se ejecutan con disciplina y enfoque. Operaron clandestinamente, utilizando métodos que contrarrestan las herramientas de seguridad y el examen forense. Utilizaron una combinación novedosa de técnicas que no habíamos visto nosotros ni nuestros socios en el pasado.
Estamos investigando activamente en coordinación con la Oficina Federal de Investigaciones y otros socios clave, incluido Microsoft. Su análisis inicial respalda nuestra conclusión de que este fue el trabajo de un atacante patrocinado por el estado altamente sofisticado que utilizó técnicas novedosas.
El atacante buscó principalmente información relacionada con algunos de los clientes gubernamentales de FireEye, pero aún no está claro si lo lograron. Mandia dijo que FireEye no ha encontrado evidencia de que los piratas informáticos hayan exfiltrado datos de los sistemas primarios de la compañía que almacenan información del cliente de respuestas a incidentes o compromisos de consultoría. Tampoco hay evidencia de que los atacantes hayan obtenido metadatos recopilados por productos de inteligencia de amenazas.
FireEye no proporcionó detalles sobre el origen de los atacantes más allá de decir que la evidencia sugiere fuertemente que fueron patrocinados por un estado-nación. Los New York Times informó que el FBI ha entregado la investigación a sus especialistas rusos, lo que sugiere que el Kremlin está detrás del ataque.
El Washington Post fue un paso más allá, citando a una fuente anónima que dijo que el hackeo parecía ser obra del servicio de inteligencia ruso SVR. Si es cierto, eso significa que los piratas informáticos pertenecen a un grupo que tiene una variedad de apodos, incluidos APT 29, Cozy Bear y los Dukes. El grupo, que fue uno de los dos equipos de piratería informática rusos que violaron el Comité Nacional Demócrata en 2016, está vinculado al país. de acuerdo a empresa de seguridad CrowsStrike.
El FBI rara vez confirma las investigaciones, incluso cuando las víctimas ya las denunciaron. El martes, sin embargo, Matt Gorham, el subdirector de la división cibernética del FBI emitió un comunicado que decía en parte: “El FBI está investigando el incidente y las indicaciones preliminares muestran a un actor con un alto nivel de sofisticación consistente con un estado nación”. “
Mientras tanto, el senador Mark R. Warner (D-VA), vicepresidente del Comité Selecto de Inteligencia del Senado y copresidente del Caucus de Ciberseguridad del Senado, emitió una declaración que decía: “El hackeo de una empresa de ciberseguridad de primer nivel demuestra que incluso las empresas más sofisticadas son vulnerables a los ciberataques. Aplaudo a FireEye por hacer pública rápidamente esta noticia, y espero que la decisión de la compañía de revelar esta intrusión sirva de ejemplo para otras personas que enfrentan intrusiones similares “.
FireEye no es la única empresa de seguridad que ha sufrido un ataque dañino. En 2011, RSA dijo que era golpeado por una brecha que permitía a los atacantes robar datos que “podrían potencialmente usarse para reducir la efectividad de una implementación actual de autenticación de dos factores”, una declaración que sugería que la información relacionada con el producto SecurID de la compañía, utilizado por 40 millones de personas en ese momento, había sido dirigido.
En 2013, los delincuentes irrumpieron en Bit9, robaron uno de sus certificados criptográficos y lo usaron para infectar a tres de sus clientes con malware.
Y en 2015, Kaspersky Lab reveló que el malware derivado de Stuxnet, el malware que, según los informes, Estados Unidos e Israel desataron en Irán, había infectado su red y permaneció sin ser detectado durante meses.