La prima società di sicurezza FireEye afferma che è stata violata da hacker di stati-nazione

0
19

FireEye, una società da 3,5 miliardi di dollari che aiuta i clienti a rispondere ad alcuni degli attacchi informatici più sofisticati al mondo, è stata a sua volta hackerata, molto probabilmente da uno stato-nazione ben dotato che si è fatto largo con strumenti di attacco "red-team" utilizzati per perforare le difese di rete .

La rivelazione, resa in un comunicato stampa pubblicato martedì dopo la chiusura dei mercati azionari, è un evento significativo. Con una capitalizzazione di mercato di $ 3,5 miliardi e alcuni dei dipendenti più esperti nel settore della sicurezza, le difese dell'azienda sono formidabili. Nonostante ciò, gli aggressori sono stati in grado di penetrare nella rete fortemente fortificata di FireEye utilizzando tecniche che nessuno in azienda aveva mai visto prima.

L'hack suscita anche lo spettro che un gruppo che era già in grado di penetrare in un'azienda con l'abilità e le risorse di sicurezza di FireEye sia ora in possesso di strumenti di attacco proprietari, un furto che potrebbe rendere gli hacker una minaccia ancora maggiore per le organizzazioni di tutto il mondo. FireEye ha detto che gli strumenti rubati non includevano alcun exploit zeroday. Le azioni FireEye sono diminuite di circa il 7% nel trading esteso a seguito della divulgazione.

Finora, la società non ha riscontrato alcuna prova che gli strumenti vengano utilizzati attivamente in natura e non è sicura se gli aggressori intendano utilizzarli. Tali strumenti vengono utilizzati dai cosiddetti red team, che imitano gli hacker dannosi in esercizi di formazione che simulano attacchi di hacking nel mondo reale. FireEye ha rilasciato una serie di firme e altre contromisure che i clienti possono utilizzare per rilevare e respingere gli attacchi nel caso in cui vengano utilizzati gli strumenti. Alcuni ricercatori che hanno esaminato le contromisure hanno affermato che sembravano dimostrare che gli strumenti non erano particolarmente sensibili.

Il comunicato di martedì è stato scritto dal CEO di FireEye Kevin Mandia. Scrisse:

Sulla base dei miei 25 anni nella sicurezza informatica e nella risposta agli incidenti, ho concluso che stiamo assistendo a un attacco da parte di una nazione con capacità offensive di alto livello. Questo attacco è diverso dalle decine di migliaia di incidenti a cui abbiamo risposto nel corso degli anni. Gli aggressori hanno adattato le loro capacità di livello mondiale specificamente per mirare e attaccare FireEye. Sono altamente qualificati in sicurezza operativa ed eseguiti con disciplina e concentrazione. Hanno operato clandestinamente, utilizzando metodi che contrastano gli strumenti di sicurezza e gli esami forensi. Hanno usato una nuova combinazione di tecniche che in passato non avevamo visto né da noi né dai nostri partner.

Stiamo indagando attivamente in coordinamento con il Federal Bureau of Investigation e altri partner chiave, tra cui Microsoft. La loro analisi iniziale supporta la nostra conclusione che questo era il lavoro di un aggressore sponsorizzato dallo stato altamente sofisticato che utilizzava nuove tecniche.

Annuncio pubblicitario

L'aggressore ha cercato principalmente informazioni relative ad alcuni clienti governativi di FireEye, ma non è ancora chiaro se ci siano riusciti. Mandia ha affermato che FireEye non ha trovato prove che gli hacker abbiano esfiltrato dati dai sistemi primari dell'azienda che memorizzano le informazioni sui clienti dalle risposte agli incidenti o dagli incarichi di consulenza. Inoltre, non ci sono prove che gli aggressori abbiano ottenuto i metadati raccolti dai prodotti di intelligence sulle minacce.

FireEye non ha fornito dettagli sull'origine degli aggressori oltre a dire che le prove suggerivano fortemente che fossero sponsorizzati da uno stato-nazione. Il New York Times ha riferito che l'FBI ha affidato le indagini ai suoi specialisti russi, suggerendo che dietro l'attacco sia il Cremlino.

Il Washington Post si è spinto oltre, citando una fonte anonima che ha affermato che l'hack sembra essere opera del servizio di intelligence russo SVR. Se vero, significa che gli hacker appartengono a un gruppo che va sotto una varietà di soprannomi, tra cui APT 29, Cosy Bear e Dukes. Il gruppo, che era uno dei due gruppi di hacker russi che hanno violato il Comitato nazionale democratico nel 2016, è legato al paese secondo la società di sicurezza CrowsStrike.

L'FBI conferma raramente le indagini, anche quando sono già segnalate dalle vittime. Martedì, tuttavia, Matt Gorham, il vicedirettore della divisione informatica dell'FBI ha rilasciato una dichiarazione che in parte recita: "L'FBI sta indagando sull'incidente e le indicazioni preliminari mostrano un attore con un alto livello di sofisticazione coerente con uno stato nazionale. "

Nel frattempo, il senatore Mark R. Warner (D-VA), vice presidente del Senate Select Committee on Intelligence e copresidente del Senate Cybersecurity Caucus, ha rilasciato una dichiarazione in cui si afferma: "L'hack di una primaria società di cybersecurity dimostra che anche le aziende più sofisticate sono vulnerabili agli attacchi informatici. Plaudo a FireEye per aver reso rapidamente pubblica questa notizia e spero che la decisione dell'azienda di rivelare questa intrusione serva da esempio per altri che affrontano intrusioni simili ".

FireEye non è certo l'unica azienda di sicurezza ad aver subito un attacco dannoso. Nel 2011, RSA ha dichiarato di essere stata colpita da una violazione che ha consentito agli aggressori di rubare dati che "potrebbero essere potenzialmente utilizzati per ridurre l'efficacia dell'attuale implementazione dell'autenticazione a due fattori", una dichiarazione che ha suggerito le informazioni relative al prodotto SecurID dell'azienda, utilizzato da 40 milioni di persone all'epoca, era stato preso di mira.

Nel 2013 i criminali hanno fatto irruzione in Bit9, hanno rubato uno dei suoi certificati crittografici e lo hanno usato per infettare tre dei suoi clienti con malware.

E nel 2015, Kaspersky Lab ha rivelato che il malware derivato da Stuxnet, il malware che gli Stati Uniti e Israele avrebbero scatenato sull'Iran, aveva infettato la sua rete ed era rimasto inosservato per mesi.

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui