FireEye hackeado, ¿por quién?

(Para Alessandro Rugolo)
14/12/20

La empresa estadounidense FireEye, gigante de la ciberseguridad, recientemente denunció haber sido víctima de hackers, probablemente apoyado por un estado.

Recordemos que FireEye es la empresa que apoya a las agencias gubernamentales y los estados de la Federación, incluidos el FBI y la NSA, sin mencionar la industria estadounidense.

Fue FireEye a informar a sus clientes del incidente a través de un post en el blog de la empresa en el que se describe a los piratas informáticos como altamente profesionales y se dice que el ataque se llevó a cabo utilizando técnicas y procedimientos nunca antes utilizados y estudiados específicamente para la ocasión, lo que lo que sugiere que hay un estado consolidado detrás del sector con la intención de realizar actividades de espionaje.

FireEye está trabajando con el FBI y Microsoft para llevar a cabo todas las investigaciones necesarias. 

Durante la investigación FireEye ha descubierto que los piratas informáticos han robado algunas de las herramientas utilizadas por sus propios Equipos rojos para realizar actividades de pentesting. Herramientas que, si las utilizan personas malintencionadas, pueden ser muy peligrosas. La compañía dijo que, como medida de precaución, ha desarrollado más de 300 herramientas para minimizar el impacto de cualquier uso de dichas herramientas contra sus clientes (o de la liberación de dichas herramientas al público).

En otro post, la empresa explica qué herramientas han sido robadas e indica una lista de contramedidas ya liberadas.

¿Que mas puedo decir? Parece que todo va bien ...

Pero me resulta natural expresar algunos de mis pensamientos en voz alta.

En primer lugar, todos conocen las herramientas para hacer pruebas de penetración son generalmente públicas (pero no las privadas de las empresas que las desarrollaron para su propio negocio), lo que marca la diferencia son las habilidades de las organizaciones que las emplean, la capacidad de una organización para sostener una operación durante mucho tiempo, la experiencia de hacker ...

Las herramientas de pruebas de penetración en la práctica son armas, más o menos poderosas, que son utilizadas (por los buenos) para probar sistemas amigos e indicar cómo es posible protegerlos mejor. Si estás de acuerdo hasta aquí, estarás de acuerdo en que como se trata de "armas" personalizadas, ciertamente estaban bien custodiadas y pensar que una de las principales empresas del sector ha tenido "armas" sustraídas de otro estado, cuando se sabe que Estados Unidos son los más fuertes de la industria, bueno, digamos que vienen algunas dudas. Si este es el caso, es más fácil pensar en un robo desde adentro que en un ataque desde afuera.. También parece que esta vez el FireEye no indicó qué estado podría estar detrás del ataque, lo cual es extraño dado que una de sus actividades es precisamente identificar la procedencia de las APT. 

La compañía declaró que no hay ninguna de las herramientas robadas. Hazañas de día cero ni técnicas desconocidas. Pero también afirmó haber emitido más de 300 contramedidas ... incluso en estas sentencias me parece que hay contradicciones. ¿De qué sirven las contramedidas específicas si no hay nada nuevo? Si fuera cierto que no le robaron nada nuevo, no creo que hubiera sido necesario liberar cientos de herramientas de contramedida ... ¡pero que así sea!

Finalmente, y lamentablemente este es el tema más delicado, ¿estamos seguros de que no se ha robado nada más? A menudo, para realizar el trabajo de pentesting, es necesario recopilar información sobre los sistemas que queremos hacer más seguros, información que en manos de personas capaces muestra los puntos débiles de los sistemas.

Sabemos que la FireEye trabaja con agencias nacionales americanas para las que es concebible que entre los datos que posee también haya datos sobre las infraestructuras críticas en las que están trabajando o han trabajado. Si estos datos han caído en manos de malos, simples delincuentes o estados enemigos, las cosas podrían complicarse para todos ... 

Para obtener más información:

FireEye comparte detalles de un reciente ciberataque y acciones para proteger a la comunidad | FireEye Inc

FireEye, una de las principales empresas de ciberseguridad de EE. UU., Dice que fue pirateada (nbcnews.com)

Acceso no autorizado a las herramientas del equipo FireEye Red | FireEye Inc

FireEye hacké! Ses outils Red Team ont été dérobés! (programmez.com)

GitHub - fireeye / red_team_tool_countermeasures

FireEye piraté: le géant de la cybersécurité y voit la main d'un Etat - CNET France

FireEye, una de las principales empresas de ciberseguridad, dice que fue pirateada por un estado-nación - The New York Times (nytimes.com)