Hackers roubam ferramentas de Red Team da FireEye

Empresa diz que as ferramentas roubadas do “red team” podem ser perigosas

Hackers roubam ferramentas de Red Team da FireEye. A consultoria de segurança digital FireEye revelou que hackers altamente sofisticados conseguiram acessar sua rede e roubar ferramentas que a companhia usava para testar a segurança dos seus clientes.

Segundo o jornal The Washington Post a empresa de segurança cibernética dos EUA FireEye disse na terça-feira, dia 8 de dezembro,  que foi hackeada pelo que poderia ser apenas um governo com “capacidades de classe mundial”, e os hackers roubaram ferramentas que a empresa usa para testar a força das defesas dos clientes. Concluí que estamos testemunhando um ataque de uma nação com capacidades ofensivas de alto nível”, disse o CEO da FireEye, Kevin Mandia, em um comunicado. “Este ataque é diferente das dezenas de milhares de incidentes aos quais respondemos ao longo dos anos.

A FireEye, que suspeita do envolvimento de hackers do Estado-nação, não informou quando a empresa foi atacada ou por quanto tempo os invasores permaneceram em seus sistemas. Não acredita que nenhuma informação do cliente tenha sido exposta.

As ferramentas roubadas do “red team” podem ser perigosas nas mãos erradas, embora o FireEye tenha dito que não há indicação de que tenham sido usadas. A empresa disse que desenvolveu 300 contramedidas para proteger os clientes e outras pessoas deles e as está disponibilizando imediatamente.

Essas ferramentas são softwares capazes de detectar e explorar vulnerabilidades em sistemas. Embora a FireEye as utilize apenas para testar a segurança dos clientes em simulações de invasão, hackers poderiam aproveitá-las em invasões reais. A empresa garantiu que suas ferramentas não tinham capacidade para explorar nenhuma vulnerabilidade inédita, com maior potencial de dano.

Não foi informado quando a invasão ocorreu nem quando ela foi detectada pela primeira vez. O comunicado a respeito do incidente foi publicado na última terça-feira (8) pelo CEO da FireEye, Kevin Mandia. O CEO afirma que os hackers provavelmente foram patrocinados por um governo, mas não indica de qual país

No jornal “The Washington Post”, fontes anônimas sugerem o envolvimento do Serviço de Inteligência Estrangeiro da Rússia (SVR), que seria o operador de um grupo de ciberespiões conhecido como “Cozy Bear”, ou APT29 – o mesmo que foi associado a ataques que tentaram roubar informações sobre vacinas da Covid-19 em julho. Segundo uma reportagem do “New York Times”, o caso já estaria com agentes do FBI especializados em ações que envolvem a Rússia. 

Os hackers “buscaram principalmente informações relacionadas a certos clientes do governo”, disse Mandia, sem identificá-los. Ele disse que não havia nenhuma indicação de que as informações dos clientes obtidas da consultoria FireEye ou das empresas de resposta a incidentes foram acessadas pelos hackers.

Com sede em Milpitas, Califórnia, a empresa de cibersegurança de capital aberto tem estado na vanguarda da investigação de sofisticados grupos de apoio apoiados pelo estado, incluindo grupos russos que tentam invadir governos estaduais e locais nos EUA que administram as eleições. Ela conta com muitos desses governos estaduais e locais entre seus clientes.

Entre as atribuições creditadas à FireEye estava que os hackers militares russos estavam por trás dos ataques de meados do inverno de 2015 e 2016 à rede de energia da Ucrânia.

A FireEye disse que está investigando o ataque em coordenação com o FBI e outros parceiros, como a Microsoft, que tem sua própria equipe de segurança cibernética. Mandia disse que os hackers usaram “uma nova combinação de técnicas não testemunhada por nós ou nossos parceiros no passado”.

Matt Gorham, diretor assistente da divisão cibernética do FBI, disse ao Teh Washington Post,  que “as indicações preliminares mostram que um ator com um alto nível de sofisticação consistente com um estado-nação” estava envolvido. Ele disse que o governo está “focado em impor riscos e consequências a ciberatores maliciosos, então eles pensam duas vezes antes de tentar uma intrusão.

Isso inclui o que o Comando Cibernético dos EUA chama de operações de “defesa avançada”, que incluem a penetração de redes de adversários, incluindo a Rússia.

A Agência de Segurança Cibernética e de Infraestrutura do país disse na terça-feira que não recebeu relatórios de ferramentas roubadas da FireEye sendo usadas de forma maliciosa, mas advertiu que “usuários não autorizados podem abusar dessas ferramentas para assumir o controle de sistemas visados

O especialista em segurança cibernética Dmitri Alperovitch disse que não ficou surpreso com o anúncio porque empresas como a FireEye são os principais alvos. “Cada empresa de segurança está sendo visada por atores estatais. Isso já está acontecendo há mais de uma década”, disse Alperovitch, o co-fundador e ex-chefe técnico da Crowdstrike, que investigou a invasão russa do Comitê Nacional Democrata em 2016 e a campanha de Hillary Clinton.

Ele disse que o lançamento das ferramentas do “red team”, embora seja uma preocupação séria, “não é o fim do mundo porque os atores de ameaças sempre criam novas ferramentas”. “Isso poderia ter sido muito pior se os dados do cliente tivessem sido hackeados e exfiltrados. Até agora, não há evidências disso”, disse Alperovitch.

Segundo o The New York Times, o hack foi o maior roubo conhecido de ferramentas de segurança cibernética desde que as ferramentas da National Security Agency foram roubadas em 2016 por um grupo ainda não identificado que se autodenomina ShadowBrokers. Esse grupo despejou as ferramentas de hacking do N.S.A. online durante vários meses, entregando aos estados-nações e aos hackers as “chaves para o reino digital“, como um ex-N.S.A. operador colocá-lo. A Coreia do Norte e a Rússia acabaram por usar o armamento roubado do N.S.A. em ataques destrutivos a agências governamentais, hospitais e os maiores conglomerados do mundo – a um custo de mais de US $ 10 bilhões.

Repercursão

A divulgação da FireEye sobre o roubo de suas ferramentas de teste de penetração – e sua resposta proativa – atraiu elogios, mas também levantou muitas questões.

Entre as perguntas: Quanto dano os hackers podem realmente causar usando as ferramentas roubadas? E quem provavelmente perpetrou o ataque contra um peso-pesado do setor de segurança cibernética?

A FireEye relatou que foi alvo de uma combinação de técnicas de hacking adaptadas para penetrar em suas defesas, resultando no roubo de suas ferramentas “Red Team”. Isso inclui scripts, ferramentas, scanners e técnicas que são usados ​​para testar a infraestrutura dos clientes quanto a vulnerabilidades de segurança ou lapsos de configuração que podem levar a uma violação de dados.

‘Demonstrando Liderança’

Kevin Mandia continua a ser um dos líderes deste segmento e está demonstrando liderança na divulgação deste ataque“, disse o general de brigada da Força Aérea da reserva Gregory Touhill, que serviu como CISO dos Estados Unidos sob o ex-presidente Barack Obama e agora é CEO da Appgate Federal .

Touhill diz que o roubo das ferramentas de teste de penetração da FireEye representa uma grave ameaça porque os hackers podem usá-las para criar contramedidas ou para fazer parecer que os ataques vêm de diferentes atores de estados-nações. “Ler os dados da FireEye pode fornecer uma fonte fenomenal de informações sobre as atividades cibernéticas de outros grupos de atores de estados-nação contra os clientes da FireEye“, disse Touhill.

Scott Shackelford, presidente do programa de segurança cibernética da Universidade de Indiana, diz que o roubo das ferramentas FireEye é comparável ao roubo de armamento cibernético da Agência de Segurança Nacional dos EUA pelos Shadow Brokers em 2016. Esse material roubado acabou levando aos ataques WannaCry e NotPetya.

O fato de a FireEye ter a capacidade de conter essas explorações não significa que sistemas vulneráveis ​​possam ser corrigidos a tempo de evitar que sejam explorados”, observa Shackleford. “O fato de a FireEye já ter sido pública e pró-ativa na publicação de informações sobre as ferramentas específicas que foram violadas durante o trabalho com a aplicação da lei é encorajador.”

Mas Jake Williams, presidente da consultoria de segurança cibernética Rendition Infosec e ex-membro da equipe de elite de hackers da NSA, diz que a ameaça representada pelas ferramentas FireEye roubadas não é tão grave quanto a ameaça representada pelo armamento cibernético roubado da NSA.  “Essas ferramentas são muito menos prejudiciais do que as ferramentas da NSA”, diz ele. “Mesmo que essas ferramentas sejam descartadas, os invasores precisarão de tempo para entendê-las antes de usá-las.”

A FireEye já postou no GitHub um conjunto de contramedidas que podem ser usadas para bloquear ou detectar o uso de suas ferramentas do Red Team.

Ataque do Estado-nação?

A empresa afirma que os esforços dos hackers foram consistentes com um esforço de ciberespionagem nacional, porque os invasores buscavam informações relacionadas a determinados clientes do governo.

hackers habilidosos, com tempo e recursos suficientes, podem hackear qualquer organização.

Especialistas em segurança cibernética dizem que um ator de estado-nação teria os recursos e estaria disposto a investir o tempo para assumir a tarefa formidável de hackear o FireEye. “Quando você tem um adversário determinado, como um estado-nação, e é um alvo de alta prioridade, eles acabarão entrando“, diz Williams. “É uma prova da detecção da FireEye que, mesmo com todo o trabalho preparatório que provavelmente ocorreu, eles ainda detectaram a intrusão.”

Mas Touhill diz que é intrigante que o US Cyber ​​Command e a comunidade de inteligência não tenham detectado o hack FireEye se, de fato, um estado-nação estivesse envolvido. 

Phil Reitinger, presidente e CEO da Global Cyber ​​Alliance, diz que o incidente FireEye demonstra que hackers habilidosos, com tempo e recursos suficientes, podem hackear qualquer organização. “O que conta então é como você responde e, até agora, estou impressionado com o nível de resposta da FireEye, especialmente desenvolvendo mitigações e compartilhando-as com a comunidade”, diz Reitinger.

Mike Wiacek, fundador e CEO da empresa de segurança Stairwell e fundador do Grupo de Análise de Ameaças do Google, pede à FireEye para compartilhar informações imediatamente com outras empresas de segurança. “Estamos em uma corrida contra o tempo para garantir que elas [as contramedidas] sejam detectadas de forma rápida, fácil e imediata por todos os produtos defensivos existentes”, diz ele.

Veja também:

Sobre mindsecblog 1871 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

9 Trackbacks / Pingbacks

  1. Estratégia Nacional Capacitação em Cibersegurança dos EUA. Por que o Brasil não tem?
  2. PLEASE_READ_ME: Ransomware oportunista ataca servidores MySQL
  3. Hacking da SolarWinds é um dos mais devastadores da história
  4. Microsoft encontra backdoor que pode relacionar à ataques da SolarWinds - Minuto da Segurança da Informação
  5. Entenda o ataque hacker da SolarWinds que assombrou o mundo
  6. Entenda o ataque hacker da SolarWinds que assombrou o mundo – Neotel Segurança Digital
  7. Microsoft encontra backdoor que pode relacionar à ataques da SolarWinds – Neotel Segurança Digital
  8. Hacking da SolarWinds é um dos mais devastadores da história – Neotel Segurança Digital
  9. Sonicwall diz ter seus produtos hackeados através de vulnerabilidade ZeroDay

Deixe sua opinião!