FireEye è caduta vittima di un attacco di hacking. È stata la stessa azienda di cyber security a comunicarlo con un post sul blog ufficiale, dove incolpa apertamente un non meglio precisato
gruppo sponsorizzato da uno stato nazione. A creare il sospetto sono la tecnica di attacco molto sofisticata e il bottino: gli
strumenti del RedTeam usati per testare le difese informatiche dei clienti.
In altri termini, si tratta di una raccolta di sofisticati strumenti di hacking che replicano quelli in uso ai gruppi criminali. La domanda che ci si pone ora è se gli attaccanti intendano utilizzare gli strumenti rubati o renderli pubblici sul dark web. In entrambi i casi si creerebbero molti problemi di cyber security.
È questo il motivo per il quale FireEye ha dato comunicazione tempestiva dell'accaduto e sta attuando tutte le
contromisure possibili per consentire a tutta la community di sicurezza di proteggersi e di proteggere le potenziali vittime. In particolare, FireEye ha
condiviso gli strumenti rubati con partner e agenzie governative nel tentativo di limitare il più possibile la capacità dei cyber criminali di sfruttare gli strumenti del RedTeam.
Il Red Team
Il Red Team è il fiore all'occhiello di FireEye. Si tratta di un gruppo di professionisti della sicurezza che lavorano attivamente per
imitare gli attacchi e lo sfruttamento di falle da parte dei cyber criminali. Creano simulazioni particolarmente realistiche che permettono di migliorare la sicurezza informatica delle aziende, scovando le vulnerabilità. I dati raccolti durante questi attacchi simulati vengono passati poi al Blue Team, che attua le misure necessarie per rendere sicuro l'ambiente operativo.
Il Red Team è attivo da oltre 15 anni, durante i quali ha creato una serie di script, strumenti, scanner e tecniche di attacco. Si va dai semplici script utilizzati per automatizzare l'esplorazione delle reti a framework complessi simili a
CobaltStrike e
Metasploit. Tutto questo ora è in possesso dei cyber criminali.
C'è da dire che molti degli strumenti del Red Team erano già accessibili alla community dei ricercatori di cyber security tramite la macchina virtuale open source CommandoVM.
Alcuni degli strumenti erano già disponibili al pubblico in versione modificata per testare la tenuta dei meccanismi di base di rilevamento. Altri erano disponibili internamente solo per il Red Team.
Nessun exploit zero-day
La buona notizia è che
gli attaccanti non hanno avuto accesso a exploit zero-day o a strumenti di attacco inediti. Tutti gli strumenti che sono stati oggetto di furto applicano metodi noti e documentati. Questo significa che
il furto non migliorerà la capacità d'attacco dei cyber criminali, che era il rischio maggiore. Inoltre, al momento risulta che nessuno degli strumenti rubati sia stato usato.
Proprio questo era il rischio maggiore. Nonostante quanto detto sopra, FireEye si è mossa per prevenire il successo di qualsiasi attacco perpetrato con i suoi strumenti. Ha pubblicato tutto l'occorrente per aiutare la community di cyber sicurezza a identificare questi strumenti non appena verranno impiegati.
Gli esperti stanno aggiornando continuamente il repository pubblico con tutte le possibili contromisure da adottare in base agli indicatori basati su host, rete e file. Inoltre, stanno pubblicando un elenco di CVE da correggere per limitare l'efficacia degli strumenti del Red Team.
Ovviamente tutte le azioni preventive sono state integrate anche nei prodotti FireEye per tutelare i propri clienti.