• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Ataques / Respuesta ejemplar de FireEye tras sufrir un ataque que expone herramientas de Red Team

Respuesta ejemplar de FireEye tras sufrir un ataque que expone herramientas de Red Team

8 diciembre, 2020 Por Ana Nieto Deja un comentario

El 8 de Diciembre, cerrada la bolsa, Kevin Mandia (CEO de FireEye) compartía a través de la web de la compañía californiana las acciones que se están tomando como respuesta ante la intrusión que ha permitido el robo de herramientas de Red Team empleadas por FireEye. Entre las acciones que se están llevando a cabo destacan: 

  • Preparación de contramedidas para detectar o bloquear el uso de las herramientas de red team accedidas por los atacantes.
  • Implementación de contramedidas en los productos de seguridad. 
  • Implementación de contramedidas con el resto de la comunidad de seguridad. 
  • Publicación de las contramedidas a través de un post que están manteniendo.  

En concreto, cabe destacar el repositorio público en GitHub con reglas Snort, Yara, ClamAV y HXIOC compartidas con la comunidad. Todo un ejemplo de gestión de este tipo de incidente, en el que la empresa de seguridad ha demostrado ser consciente del riesgo que la filtración de este tipo de herramientas entraña. 

Resultados de retrohunt de VirusTotal para las reglas Yara publicadas por FireEye (documento público).

Las herramientas de red team están diseñadas para conseguir acceso a objetivos dentro de una organización. Los equipos de seguridad usan sus propios arsenales para ponerse en la piel del atacante y posteriormente elaborar los informes que permiten mejorar la respuesta mediante los planes de seguridad. El objetivo final de este procedimiento es proteger a sus clientes, otras empresas. En  este caso es la armería de FireEye la afectada, tras un ataque dirigido, pero no es el único caso ni será el último. 

Entre las herramientas accedidas se encuentran desde scripts usados para la automatización del reconocimiento a frameworks completos similares a tecnologías como CobalStrike y Metasploit. No obstante, conforme a las declaraciones de FireEye, no hay exploits zero-day involucrados, y todas las herramientas emplean métodos que actualmente son conocidos por los profesionales de ciberseguridad. 

Como parte del comunicado, K. Mandia describía parte de la operativa del atacante: búsqueda principalmente de información relacionada con ciertos clientes del gobierno americano, lo que hace que este ataque apunte a un esfuerzo de ciber-espionage por parte de un estado-nación. En particular, en esta ocasión las fuentes sostienen que diversas evidencias apuntan a agencias de inteligencia Rusas.   

Según el New York Times este incidente es el mayor robo de herramientas de ciberseguridad desde que el grupo ShadowBrokers publicase herramientas de la NSA (National Security Agency) en 2016. A diferencia de dicho caso, en el que las herramientas fueron concebidas como armas para uso activo, en este caso las herramientas se construyeron a partir de malware identificado por la compañía. En cualquier caso, un atacante podría aprovechar estas herramientas para acceder a sistemas adversarios sin necesidad de exponer su propio arsenal.

Pese a tener la posibilidad de acceder a los sistemas internos de la compañía, por el momento no se han reportado casos de exfiltración de datos que afecten a información de clientes. La compañía indica que de ocurrir, contactarán con los afectados. 

La noticia en sí de este ataque tiene dos lecturas principales. Por un lado, el acceso a herramientas de red team propietarias empleadas por una compañía puntera en ciberseguridad. Esto pone de manifiesto que aún con una política de seguridad fuerte los ataques dirigidos pueden hacer estragos. Por otro lado, la respuesta dada por FireEye es ejemplar: no sólo han mostrado transparencia sobre el incidente, sino que han compartido con la comunidad reglas que permiten identificar el uso de estas herramientas. 

Más información:

FireEye Shares Details of Recent Cyber Attack, Actions to Protect Community. Kevin Mandia. 2020-12-08. https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html

Threat Research. Unauthorized Access of FireEye Red Team Tools. 2020-12-08. https://www.fireeye.com/blog/threat-research/2020/12/unauthorized-access-of-fireeye-red-team-tools.html

FireEye, a Top Cybersecurity Firm, Says It Was Hacked by a Nation-State. David E. Sanger, Nicole Perlroth. The New York Times. 2020-12-08. https://www.nytimes.com/2020/12/08/technology/fireeye-hacked-russians.html

Acerca de Ana Nieto

Ana Nieto Ha escrito 30 publicaciones.

  • View all posts by Ana Nieto →
  • Blog
  • Twitter

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Ataques, General Etiquetado como: cyberattack, FireEye, red team

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Técnica permite modificar ficheros PDF con firma digital

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR
 

Cargando comentarios...