• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Ataques / Respuesta ejemplar de FireEye tras sufrir un ataque que expone herramientas de Red Team

Respuesta ejemplar de FireEye tras sufrir un ataque que expone herramientas de Red Team

8 diciembre, 2020 Por Ana Nieto Deja un comentario

El 8 de Diciembre, cerrada la bolsa, Kevin Mandia (CEO de FireEye) compartía a través de la web de la compañía californiana las acciones que se están tomando como respuesta ante la intrusión que ha permitido el robo de herramientas de Red Team empleadas por FireEye. Entre las acciones que se están llevando a cabo destacan: 

  • Preparación de contramedidas para detectar o bloquear el uso de las herramientas de red team accedidas por los atacantes.
  • Implementación de contramedidas en los productos de seguridad. 
  • Implementación de contramedidas con el resto de la comunidad de seguridad. 
  • Publicación de las contramedidas a través de un post que están manteniendo.  

En concreto, cabe destacar el repositorio público en GitHub con reglas Snort, Yara, ClamAV y HXIOC compartidas con la comunidad. Todo un ejemplo de gestión de este tipo de incidente, en el que la empresa de seguridad ha demostrado ser consciente del riesgo que la filtración de este tipo de herramientas entraña. 

Resultados de retrohunt de VirusTotal para las reglas Yara publicadas por FireEye (documento público).

Las herramientas de red team están diseñadas para conseguir acceso a objetivos dentro de una organización. Los equipos de seguridad usan sus propios arsenales para ponerse en la piel del atacante y posteriormente elaborar los informes que permiten mejorar la respuesta mediante los planes de seguridad. El objetivo final de este procedimiento es proteger a sus clientes, otras empresas. En  este caso es la armería de FireEye la afectada, tras un ataque dirigido, pero no es el único caso ni será el último. 

Entre las herramientas accedidas se encuentran desde scripts usados para la automatización del reconocimiento a frameworks completos similares a tecnologías como CobalStrike y Metasploit. No obstante, conforme a las declaraciones de FireEye, no hay exploits zero-day involucrados, y todas las herramientas emplean métodos que actualmente son conocidos por los profesionales de ciberseguridad. 

Como parte del comunicado, K. Mandia describía parte de la operativa del atacante: búsqueda principalmente de información relacionada con ciertos clientes del gobierno americano, lo que hace que este ataque apunte a un esfuerzo de ciber-espionage por parte de un estado-nación. En particular, en esta ocasión las fuentes sostienen que diversas evidencias apuntan a agencias de inteligencia Rusas.   

Según el New York Times este incidente es el mayor robo de herramientas de ciberseguridad desde que el grupo ShadowBrokers publicase herramientas de la NSA (National Security Agency) en 2016. A diferencia de dicho caso, en el que las herramientas fueron concebidas como armas para uso activo, en este caso las herramientas se construyeron a partir de malware identificado por la compañía. En cualquier caso, un atacante podría aprovechar estas herramientas para acceder a sistemas adversarios sin necesidad de exponer su propio arsenal.

Pese a tener la posibilidad de acceder a los sistemas internos de la compañía, por el momento no se han reportado casos de exfiltración de datos que afecten a información de clientes. La compañía indica que de ocurrir, contactarán con los afectados. 

La noticia en sí de este ataque tiene dos lecturas principales. Por un lado, el acceso a herramientas de red team propietarias empleadas por una compañía puntera en ciberseguridad. Esto pone de manifiesto que aún con una política de seguridad fuerte los ataques dirigidos pueden hacer estragos. Por otro lado, la respuesta dada por FireEye es ejemplar: no sólo han mostrado transparencia sobre el incidente, sino que han compartido con la comunidad reglas que permiten identificar el uso de estas herramientas. 

Más información:

FireEye Shares Details of Recent Cyber Attack, Actions to Protect Community. Kevin Mandia. 2020-12-08. https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html

Threat Research. Unauthorized Access of FireEye Red Team Tools. 2020-12-08. https://www.fireeye.com/blog/threat-research/2020/12/unauthorized-access-of-fireeye-red-team-tools.html

FireEye, a Top Cybersecurity Firm, Says It Was Hacked by a Nation-State. David E. Sanger, Nicole Perlroth. The New York Times. 2020-12-08. https://www.nytimes.com/2020/12/08/technology/fireeye-hacked-russians.html

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Open Source INTelligence (OSINT)

Publicado en: Ataques, General Etiquetado como: cyberattack, FireEye, red team

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Los ataques de phishing con llamadas telefónicas han aumentado un 625% desde el primer trimestre de 2021
  • DigitalOcean se deshace de Mailchimp tras el ataque que sufrieron
  • Cisco parchea vulnerabilidad alta en ASA y Firepower
  • Ataque a Curve.Finance, robados casi 570.000 doláres
  • Cisco afectada por ransomware Yanluowang

Entradas recientes

  • Los ataques de phishing con llamadas telefónicas han aumentado un 625% desde el primer trimestre de 2021
  • DigitalOcean se deshace de Mailchimp tras el ataque que sufrieron
  • Ataque a Curve.Finance, robados casi 570.000 doláres
  • Cisco parchea vulnerabilidad alta en ASA y Firepower
  • Cisco afectada por ransomware Yanluowang
  • Microsoft Edge mejora la seguridad contra sitios maliciosos con su modo de seguridad mejorado
  • Ataque a la plataforma cripto deBridge Finance
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Los ataques de phishing con llamadas telefónicas han aumentado un 625% desde el primer trimestre de 2021
  • DigitalOcean se deshace de Mailchimp tras el ataque que sufrieron
  • Ataque a Curve.Finance, robados casi 570.000 doláres
  • Cisco parchea vulnerabilidad alta en ASA y Firepower
  • Cisco afectada por ransomware Yanluowang

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...