9 декабря 2020 г.
FireEye подверглась атаке, которая, как считают, была проплачена иностранным государством и направлена на получение информации об определенных клиентах компании в госорганах США.
FireEye сообщила, что злоумышленник сумел получить доступ к некоторым ее внутренним системам, но, по-видимому, не смог извлечь данные из главных систем, где хранится информация о клиентах. Тем не менее, он выкрал внутренние инструменты оценки безопасности Red Team, и компания не уверена, что он не захочет их использовать или выложить в открытый доступ.
«Эта атака отличается от десятков тысяч других, которые нам пришлось отражать на протяжении многих лет, — пишет главный управляющий FireEye Кевин Мандиа (Kevin Mandia) в блоге во вторник. — Злоумышленники усовершенствовали свои инструменты взлома мирового класса специально для атаки на FireEye. Они действовали скрытно, используя методы противодействия средствам безопасности и анализа инцидентов. Это была новая комбинация методов, еще не встречавшаяся нам или нашим партнерам».
Акции FireEye упали на 1,21 долл. (7,80%) до 14,31 долл. в сделках после закрытия торгов во вторник, что стало самой низкой ценой с 19 ноября. Компания заявила, что расследует инцидент во взаимодействии с ФБР и другими ключевыми партнерами, включая Microsoft.
The New York Times пишет, что взлом FireEye, похоже, был осуществлен российскими спецслужбами судя по тому, что расследование поручено специалистам ФБР по России. FireEye отказалась комментировать новость NYT, сообщив, что не делает никаких заявлений об источнике атаки.
Компания сообщила также, что украденные инструменты Red Team варьируются от простых скриптов для автоматизации первичного анализа до целых фреймворков, аналогичных общедоступным средствам CobaltStrike и Metasploit. В этих инструментах применяются хорошо известные и документированные методы, используемые другими командами моделирования атак по всему миру, и они не содержат никаких эксплойтов нулевого дня, указывает FireEye.
Совсем иная картина была в августе 2016 года, когда Shadow Brokers предложили продать «хакерские инструменты» Агентства национальной безопасности США за 1 млн долл. в биткоинах. Хакеры заявили, что эти эксплойты нулевого дня выкрадены у группы в АНБ. Выложенный дамп включал сценарии установки, конфигурации командных серверов, а также эксплойты для маршрутизаторов и межсетевых экранов многих производителей.
На этот раз FireEye пока не обнаружила никаких свидетельств, что кто-либо использовал украденные инструменты Red Team. Тем не менее, компания заявила, что уже разработала и выложит в открытый доступ более 300 контрмер, чтобы ее клиенты и сообщество специалистов ИБ в целом могли защитить себя от этого инструментария.
FireEye сообщила, что уже включила эти контрмеры в свои продукты и поделилась ими с партнерами и государственными органами, включая Министерство внутренней безопасности США, чтобы злоумышленники не могли воспользоваться украденными инструментами Red Team. Компания продолжит пополнять свой публичный репозиторий контрмерами по признакам взлома на уровне хоста, сети и файловом уровне по мере разработки новых средств обнаружения.
FireEye сообщила также, что не видит признаков того, что злоумышленник извлек данные из ее базовых систем, где хранится информация нейтрализации угроз или услуг консалтинга, или из метаданных, собранных продуктами компании в ее системах динамического анализа угроз. Если будет обнаружена утечка информации о каких-либо клиентах, компания свяжется с ними напрямую.
«Мы уже узнали многое и продолжаем узнавать больше о злоумышленниках в этой атаке, и сообщество ИБ в целом выйдет из этого инцидента еще более защищенным, — заверил Мандиа в блоге. — Ничто не помешает нам продолжать делать свою работу».
© 2020. The Channel Company LLC. Initially published on CRN.com, a The Channel Company website, at https://www.crn.com. Reprinted with permission.
Источник: Майкл Новинсон, CRN/США