Suelen utilizar las herramientas de Red Team para imitar las que se utilizan en los ataques del mundo real
FireEye, una de las firmas de ciberseguridad más grandes del mundo, dijo el martes que se convirtió en víctima de un ataque patrocinado por un estado por un "actor de amenazas altamente sofisticado" que robó su arsenal de herramientas de prueba de penetración del Red Team que utiliza para probar las defensas de sus clientes.
La compañía dijo que está investigando activamente el hackeo en coordinación con la Oficina Federal de Investigaciones (FBI) de EE. UU. y otros socios clave, incluido Microsoft.
No identificó a un culpable específico que podría estar detrás de la infracción o revelar cuándo tuvo lugar exactamente el ataque.
Sin embargo, The New York Times y The Washington Post informaron que el FBI entregó la investigación a sus especialistas rusos y que el ataque probablemente sea obra de APT29 (o Cozy Bear), piratas informáticos patrocinados por el estado afiliados al Servicio de Inteligencia Exterior SVR de Rusia - citando fuentes no identificadas.
Al momento de escribir este artículo, las herramientas de piratería no se han explotado en la naturaleza, ni contienen exploits de día cero, aunque los actores malintencionados en posesión de estas herramientas podrían abusar de ellas para subvertir las barreras de seguridad y tomar el control de los sistemas específicos.
Las organizaciones de ciberseguridad suelen utilizar las herramientas de Red Team para imitar las que se utilizan en los ataques del mundo real con el objetivo de evaluar las capacidades de detección y respuesta de una empresa y evaluar la postura de seguridad de los sistemas empresariales.
La compañía dijo que el adversario también accedió a algunos sistemas internos y principalmente buscó información sobre clientes gubernamentales, pero agregó que no hay evidencia de que el atacante haya exfiltrado información del cliente relacionada con la respuesta a incidentes o compromisos de consultoría o los metadatos recopilados por su software de seguridad.
"Este ataque es diferente de las decenas de miles de incidentes a los que hemos respondido a lo largo de los años", escribió el CEO de FireEye, Kevin Mandia, en una publicación de blog.
"Los atacantes adaptaron sus capacidades de clase mundial específicamente para apuntar y atacar FireEye. Están altamente capacitados en seguridad operativa y ejecutadas con disciplina y enfoque. Operaron clandestinamente, utilizando métodos que contrarrestan las herramientas de seguridad y el examen forense. Utilizaron una combinación novedosa de técnicas que no habíamos visto nosotros ni nuestros socios en el pasado".
Las herramientas Red Team a las que se accede abarcan desde los scripts utilizados para automatizar el reconocimiento hasta marcos completos que son similares a las tecnologías disponibles públicamente, como CobaltStrike y Metasploit. Algunas otras son versiones modificadas de herramientas disponibles públicamente diseñadas para evadir los mecanismos básicos de detección de seguridad, mientras que el resto son utilidades de ataque patentadas desarrolladas internamente.
Para minimizar el potencial impacto del robo de estas herramientas, la compañía también ha lanzado 300 contramedidas, incluida una lista de 16 fallas críticas previamente reveladas que deben abordarse para limitar la efectividad de las herramientas del Red Team.
En todo caso, el desarrollo es otro indicio de que ninguna empresa, contando las empresas de ciberseguridad, es inmune a los ataques dirigidos.
Las principales empresas de ciberseguridad como Kaspersky Lab, RSA Security, Avast y Bit9 han sido víctimas de ataques dañinos durante la última década.
El incidente también tiene leves similitudes con la filtración de herramientas de piratería ofensiva de The Shadow Brokers utilizadas en 2016 por la Agencia de Seguridad Nacional de EE. UU., que también incluía el exploit de día cero EternalBlue que luego se utilizó como arma para distribuir el ransomware WannaCry.
"Las compañías de seguridad son un objetivo primordial para los operadores de los estados-nación por muchas razones, pero no menos importante es la capacidad de obtener valiosa información sobre cómo eludir los controles de seguridad dentro de sus objetivos finales", dijo el cofundador de Crowdstrike, Dmitri Alperovitch.
El lanzamiento de herramientas del Red Team robadas por el adversario "contribuirá en gran medida a mitigar el impacto potencial de esta intrusión para las organizaciones de todo el mundo", agregó.