A FireEye, uma das mais importantes empresas de segurança do mundo, sofreu uma intrusão e uma das consequências foi a exfiltração de sofisticadas ferramentas utilizadas pelo seu red team no atendimento de clientes. Há ferramentas exclusivas desenvolvidas pela empresa mas nenhuma se utiliza de algum zero day, afirmou o CEO Kevin Mandia (foto) num comunicado que publicou ontem no site da empresa.
As ferramentas roubadas, segundo o comunicado, variam de simples scripts usados para automatizar o reconhecimento de frameworks, semelhantes a tecnologias publicamente disponíveis como CobaltStrike e Metasploit. Muitas das ferramentas do Red Team já foram publicadas para a comunidade e estão distribuídas na máquina virtual de código aberto CommandoVM, da FireEye. Outras são ferramentas disponíveis publicamente, mas modificadas, para evitar a deecção de intrusões pelos mecanismos básicos de segurança. Outras ferramentas e estruturas foram desenvolvidas internamente para o red team.
Como contramedidas, a FireEye anuncia que publicou no seu repositório do GutHub diversas soluções para as falhas e vulnerabilidades sujeitas ao ataque dessas ferramentas. De certo modo esse roubo balança a liderança da FireEye, já que as ferramentas fazem parte de seus segredos negociais. A comunicação é feita poucos dias após a empresa anunciar o recebimento de um aporte de capital de US$ 400 milhões.
Veja isso
FireEye anuncia aporte de US$ 400 milhões e a compra da Respond
A FireEye compra a Mandiant por US$ 1B
O ataque parece ter sido feito, segundo Mandia, por um grupo APT a serviço de um estado nação que ainda não foi identificado. Mandia afirma que embora a empresa zele pela sua própria segurança, o ataque foi feito comuma sofisticação sem precedentes e ultrapassou as defesas disponíveis naquele momento.
Essa não é a primeira empresa de segurança que sofre um incidente desse tipo. A RSA, por exemplo, sofreu em 2011 uma invasão decorrente de um phishing, e outras como a Mitsubishi e a Trend Micro também já passaram por incidentes cibernéticos.
No texto intitulado “Unauthorized Access of FireEye Red Team Tools”, Mandia descreveu o incidente com muitos detalhes, afirmando, para começar, que o ataque é obra de um governo estrangeiro (a FireEye é sediada nos EUA). Segundo ele, “um adversário altamente sofisticado, patrocinado por um estado, roubou as ferramentas do Red Team da FireEye. Como acreditamos que um adversário possui essas ferramentas e não sabemos se pretende usá-las ou divulgá-las, a FireEye está lançando centenas de contra-medidas (…) para permitir que a comunidade de segurança se proteja contra essas ferramentas. Incorporamos as contramedidas em nossos produtos FireEye – e compartilhamos essas contramedidas com parceiros, agências governamentais – para limitar significativamente a capacidade do mau ator de explorar as ferramentas do Red Team”.
