Kevin Mandia Fireeye

Invasores da FireEye roubam as ferramentas do red team

As ferramentas roubadas podem ser utilizadas em ataques e invasões; empresa publicou contramedidas para isso
Paulo Brito
09/12/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

A FireEye, uma das mais importantes empresas de segurança do mundo, sofreu uma intrusão e uma das consequências foi a exfiltração de sofisticadas ferramentas utilizadas pelo seu red team no atendimento de clientes. Há ferramentas exclusivas desenvolvidas pela empresa mas nenhuma se utiliza de algum zero day, afirmou o CEO Kevin Mandia (foto) num comunicado que publicou ontem no site da empresa.

As ferramentas roubadas, segundo o comunicado, variam de simples scripts usados para automatizar o reconhecimento de frameworks, semelhantes a tecnologias publicamente disponíveis como CobaltStrike e Metasploit. Muitas das ferramentas do Red Team já foram publicadas para a comunidade e estão distribuídas na máquina virtual de código aberto CommandoVM, da FireEye. Outras são ferramentas disponíveis publicamente, mas modificadas, para evitar a deecção de intrusões pelos mecanismos básicos de segurança. Outras ferramentas e estruturas foram desenvolvidas internamente para o red team.

Como contramedidas, a FireEye anuncia que publicou no seu repositório do GutHub diversas soluções para as falhas e vulnerabilidades sujeitas ao ataque dessas ferramentas. De certo modo esse roubo balança a liderança da FireEye, já que as ferramentas fazem parte de seus segredos negociais. A comunicação é feita poucos dias após a empresa anunciar o recebimento de um aporte de capital de US$ 400 milhões.

Veja isso
FireEye anuncia aporte de US$ 400 milhões e a compra da Respond
A FireEye compra a Mandiant por US$ 1B

O ataque parece ter sido feito, segundo Mandia, por um grupo APT a serviço de um estado nação que ainda não foi identificado. Mandia afirma que embora a empresa zele pela sua própria segurança, o ataque foi feito comuma sofisticação sem precedentes e ultrapassou as defesas disponíveis naquele momento.

Essa não é a primeira empresa de segurança que sofre um incidente desse tipo. A RSA, por exemplo, sofreu em 2011 uma invasão decorrente de um phishing, e outras como a Mitsubishi e a Trend Micro também já passaram por incidentes cibernéticos.

No texto intitulado “Unauthorized Access of FireEye Red Team Tools”, Mandia descreveu o incidente com muitos detalhes, afirmando, para começar, que o ataque é obra de um governo estrangeiro (a FireEye é sediada nos EUA). Segundo ele, “um adversário altamente sofisticado, patrocinado por um estado, roubou as ferramentas do Red Team da FireEye. Como acreditamos que um adversário possui essas ferramentas e não sabemos se pretende usá-las ou divulgá-las, a FireEye está lançando centenas de contra-medidas (…) para permitir que a comunidade de segurança se proteja contra essas ferramentas. Incorporamos as contramedidas em nossos produtos FireEye – e compartilhamos essas contramedidas com parceiros, agências governamentais – para limitar significativamente a capacidade do mau ator de explorar as ferramentas do Red Team”.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Inscrição na lista CISO Advisor

* campo obrigatório