FireEye împărtășește detalii despre atacurile cibernetice recente la care a fost supusă companie

Într-un comunicat postat pe blogul companiei, Kevin Mandia, CEO al FireEye, a dat o serie de informații legate de atacul pe care firma de soluții de securitate cibernetică l-a suferit:

”FireEye se află în prima linie în apărarea companiilor și a infrastructurii critice la nivel global de amenințările cibernetice. Asistăm direct la amenințarea în creștere și știm că amenințările cibernetice evoluează întotdeauna. Recent, am fost atacați de un actor extrem de sofisticat, unul a cărui disciplină, securitate operațională și tehnici ne-au făcut să credem că a fost un atac sponsorizat de stat. Prioritatea noastră numărul unu este să lucrăm pentru a consolida securitatea clienților noștri și a comunității mai largi. Sperăm că, împărtășind detaliile anchetei noastre, întreaga comunitate va fi mai bine pregătită pentru a lupta și a învinge atacurile cibernetice.

Pe baza celor 25 de ani de securitate cibernetică și de răspuns la incidente, am ajuns la concluzia că asistăm la un atac al unei națiuni cu capacități ofensive de nivel superior. Acest atac este diferit de zecile de mii de incidente la care am răspuns de-a lungul anilor. Atacatorii și-au adaptat capabilitățile de clasă mondială special pentru a viza și a ataca FireEye. Sunt foarte pregătiți în securitatea operațională și sunt executați cu disciplină și concentrare. Aceștia au funcționat clandestin, folosind metode care contracarează instrumentele de securitate și examinarea criminalistică. Au folosit o combinație nouă de tehnici pe care noi sau partenerii noștri nu le-am văzut în trecut.

Investigăm activ în coordonare cu Biroul Federal de Investigații și alți parteneri cheie, inclusiv Microsoft. Analiza lor inițială susține concluzia noastră că aceasta a fost opera unui atacator foarte sofisticat sponsorizat de stat care utilizează tehnici noi.

În timpul investigației noastre de până acum, am constatat că atacatorul a vizat și a accesat anumite instrumente de evaluare ale Red Team pe care le folosim pentru a testa securitatea clienților noștri. Aceste instrumente imită comportamentul multor actori de amenințări cibernetice și permit FireEye să ofere servicii esențiale de securitate de diagnostic clienților noștri. Niciunul dintre instrumente nu conține exploit-uri zero-day. În concordanță cu obiectivul nostru de a proteja comunitatea, eliberăm în mod proactiv metode și mijloace pentru a detecta utilizarea instrumentelor noastre Red Team furate.

Nu suntem siguri dacă atacatorul intenționează să folosească instrumentele noastre Red Team sau să le dezvăluie public. Cu toate acestea, dintr-o abundență de precauție, am dezvoltat peste 300 de măsuri contrare pentru clienții noștri și comunitatea în general, pentru a le utiliza pentru a minimiza impactul potențial al furtului acestor instrumente.

Nu am văzut până acum nicio dovadă că vreun atacator a folosit instrumentele furate ale echipei roșii. Noi, precum și alții din comunitatea de securitate, vom continua să monitorizăm pentru astfel de activități. În acest moment, dorim să ne asigurăm că întreaga comunitate de securitate este atât conștientă, cât și protejată împotriva încercării de utilizare a acestor instrumente Red Team. Mai exact, iată ce facem:

Am pregătit contramăsuri care pot detecta sau bloca utilizarea instrumentelor noastre furate de la Red Team.
Am implementat contramăsuri în produsele noastre de securitate.
Împărtășim aceste contramăsuri colegilor noștri din comunitatea de securitate, astfel încât aceștia să își poată actualiza instrumentele de securitate.
Facem contramăsurile disponibile public în postarea de pe blogul nostru, „Unauthorized Access of FireEye Red Team Tools”.
Vom continua să împărtășim și să îmbunătățim orice atenuare suplimentară pentru instrumentele Red Team pe măsură ce acestea devin disponibile, atât în mod public, cât și direct, cu partenerii noștri de securitate.

În concordanță cu efortul de spionaj cibernetic al statului național, atacatorul a căutat în primul rând informații legate de anumiți clienți guvernamentali. În timp ce atacatorul a putut accesa unele dintre sistemele noastre interne, în acest moment al investigației noastre, nu am văzut nicio dovadă că atacatorul a exfiltrat date din sistemele noastre primare care stochează informații despre clienți din răspunsurile la incident sau din angajamentele noastre de consultare sau din metadatele colectate de produsele noastre în sistemele noastre dinamice de inteligență asupra amenințărilor. Dacă descoperim că informațiile despre clienți au fost preluate, le vom contacta direct.

De-a lungul multor ani, am identificat, catalogat și dezvăluit public activitățile multor grupuri de amenințări persistente avansate (APT), împuternicind comunitatea de securitate mai largă să detecteze și să blocheze amenințările noi și emergente.

În fiecare zi, inovăm și ne adaptăm pentru a ne proteja clienții de actori de amenințare care joacă în afara limitelor legale și etice ale societății. Acest eveniment nu este diferit. Suntem încrezători în eficacitatea produselor noastre și în procesele pe care le folosim pentru a le rafina. Am învățat și continuăm să aflăm mai multe despre adversarii noștri ca urmare a acestui atac, iar comunitatea de securitate mai mare va ieși din acest incident mai bine protejată. Nu vom fi niciodată descurajați să facem ceea ce este corect.”

Related

Related Posts

Kazuar și Sunburst – veriga lipsă: experții fac legătura între atacul SolarWinds și backdoor-ul Kazuar

CERT-RO avertizează asupra unui atac de tip supply chain prin actualizările oferite de compania SolarWinds

Creștere consistentă în T1 pentru business-ul Connections (CC): 1,3 mil. lei profit și venituri de peste 19 mil lei