FireEye, una de las firmas de seguridad cibernética más grandes del mundo, dijo el martes que se convirtió en víctima de un ataque patrocinado por el estado por parte de un «actor de amenazas altamente sofisticado» que robó su arsenal de herramientas de prueba de penetración Red Team que usa para probar las defensas de sus clientes
La compañía dijo que está investigando activamente la violación en coordinación con la Oficina Federal de Investigaciones (FBI) de EE. UU. y otros socios clave, incluido Microsoft.
No identificó a un culpable específico que podría estar detrás de la violación o reveló cuándo ocurrió exactamente el ataque.
Sin embargo, The New York Times y The Washington Post informaron que el FBI entregó la investigación a sus especialistas rusos y que es probable que el ataque sea obra de APT29 (o Cozy Bear), piratas informáticos patrocinados por el estado afiliados al Servicio de Inteligencia Extranjera SVR de Rusia. – citando fuentes anónimas.
Al momento de escribir, las herramientas de piratería no han sido explotadas en la naturaleza, ni contienen exploits de día cero, aunque los actores maliciosos en posesión de estas herramientas podrían abusar de ellas para subvertir las barreras de seguridad y tomar el control de los sistemas objetivo.
Las organizaciones de seguridad cibernética suelen utilizar las herramientas de Red Team para imitar las que se utilizan en los ataques del mundo real con el objetivo de evaluar las capacidades de detección y respuesta de una empresa y evaluar la postura de seguridad de los sistemas empresariales.
La compañía dijo que el adversario también accedió a algunos sistemas internos y buscó principalmente información sobre clientes del gobierno, pero agregó que no hay evidencia de que el atacante haya extraído información del cliente relacionada con la respuesta a incidentes o compromisos de consultoría o los metadatos recopilados por su software de seguridad.
«Este ataque es diferente de las decenas de miles de incidentes a los que hemos respondido a lo largo de los años», escribió el CEO de FireEye, Kevin Mandia, en una publicación de blog.
«Los atacantes adaptaron sus capacidades de clase mundial específicamente para apuntar y atacar FireEye. Están altamente capacitados en seguridad operativa y se ejecutaron con disciplina y enfoque. Operaron clandestinamente, usando métodos que contrarrestan las herramientas de seguridad y el examen forense. Usaron una combinación novedosa de técnicas no presenciadas por nosotros o nuestros socios en el pasado».
Las herramientas de Red Team a las que se accede abarcan desde scripts utilizados para automatizar el reconocimiento hasta marcos completos que son similares a tecnologías disponibles públicamente como CobaltStrike y Metasploit. Algunos otros son versiones modificadas de herramientas disponibles públicamente diseñadas para evadir los mecanismos básicos de detección de seguridad, mientras que el resto son utilidades de ataque patentadas desarrolladas internamente.
Para minimizar el impacto potencial del robo de estas herramientas, la compañía también lanzó 300 contramedidas, incluida una lista de 16 fallas críticas previamente reveladas que deben abordarse para limitar la efectividad de las herramientas Red Team.
En todo caso, el desarrollo es otra indicación de que ninguna empresa, contando las empresas de ciberseguridad, es inmune a los ataques dirigidos.
Las principales empresas de ciberseguridad, como Kaspersky Lab, RSA Security, Avast y Bit9, han sido víctimas de ataques dañinos durante la última década.
El incidente también tiene leves similitudes con la filtración de The Shadow Brokers de herramientas de piratería ofensivas utilizadas por la Agencia de Seguridad Nacional de EE. UU. en 2016, que también incluía el exploit de día cero EternalBlue que luego se utilizó como arma para distribuir el ransomware WannaCry.
«Las empresas de seguridad son un objetivo principal para los operadores de los estados-nación por muchas razones, pero no menos importante es [the] capacidad de obtener información valiosa sobre cómo eludir los controles de seguridad dentro de sus objetivos finales», dijo el cofundador y ex CTO de Crowdstrike, Dmitri Alperovitch dijo.
El lanzamiento de las herramientas del equipo rojo robadas por el adversario «contribuirá en gran medida a mitigar el impacto potencial de esta intrusión para las organizaciones de todo el mundo», agregó.
