FireEye, una de las firmas de ciberseguridad más grandes del mundo, dijo el martes que se convirtió en víctima de un ataque patrocinado por el estado por un “actor de amenazas altamente sofisticado” que robó su arsenal de herramientas de prueba de penetración Red Team que utiliza para probar las defensas de sus clientes.
La compañía dijo que está investigando activamente la violación en coordinación con la Oficina Federal de Investigaciones (FBI) de EE. UU. Y otros socios clave, incluido Microsoft. No identificó a un culpable específico que podría estar detrás de la infracción o revelar cuándo tuvo lugar exactamente el ataque.
Sin embargo, The New York Times, The Guardian, The Washington Post informaron que el FBI entregó la investigación a sus especialistas rusos y que es probable que el ataque sea obra de APT29 (o Cozy Bear), delincuentes informáticos patrocinados por el estado afiliados al Servicio de Inteligencia Exterior SVR de Rusia, citando fuentes no identificadas.
Al momento de escribir este artículo, las herramientas de hacking no se han explotado en la naturaleza, ni contienen exploits Zero-Days, aunque los actores maliciosos en posesión de estas herramientas podrían abusar de ellas para subvertir las barreras de seguridad y tomar el control de los sistemas específicos.
Las organizaciones de ciberseguridad suelen utilizar las herramientas de Red Team para imitar las que se utilizan en ataques del mundo real con el objetivo de evaluar las capacidades de detección y respuesta de una empresa y evaluar la postura de seguridad de los sistemas empresariales.
La compañía dijo que el adversario también accedió a algunos sistemas internos y buscó principalmente información sobre clientes del gobierno, pero agregó que no hay evidencia de que el atacante haya extraído información del cliente relacionada con la respuesta a incidentes o compromisos de consultoría o los metadatos recopilados por su software de seguridad.
“Este ataque es diferente de las decenas de miles de incidentes a los que hemos respondido a lo largo de los años”, escribió Kevin Mandia, director ejecutivo de FireEye, en una publicación de blog. “Los atacantes adaptaron sus capacidades de clase mundial específicamente para apuntar y atacar FireEye. Están altamente capacitados en seguridad operativa y ejecutados con disciplina y enfoque. Operaron clandestinamente, utilizando métodos que contrarrestan las herramientas de seguridad y el examen forense. Usaron una combinación novedosa de técnicas no presenciadas por nosotros o nuestros socios en el pasado”.
Las herramientas de Red Team a las que se accedió abarcan desde los scripts utilizados para automatizar el reconocimiento hasta frameworks completos que son similares a las tecnologías disponibles públicamente como CobaltStrike y Metasploit. Muchas de las herramientas ya se han lanzado a la comunidad y ya están distribuidas en la máquina virtual de código abierto, CommandoVM.
Algunas otras son versiones modificadas de herramientas disponibles públicamente diseñadas para evadir los mecanismos básicos de detección de seguridad, mientras que el resto son utilidades de ataque patentadas desarrolladas internamente.
Para minimizar el impacto potencial del robo de estas herramientas, la compañía también ha lanzado 300 contramedidas, reglas de YARA/SNORT y una lista de 16 fallas críticas previamente reveladas que deben abordarse para limitar la efectividad de las herramientas:
- CVE-2019-11510 – pre-auth arbitrary file reading from Pulse Secure SSL VPNs – CVSS 10.0
- CVE-2020-1472 – Microsoft Active Directory escalation of privileges – CVSS 10.0
- CVE-2018-13379 – pre-auth arbitrary file reading from Fortinet Fortigate SSL VPN – CVSS 9.8
- CVE-2018-15961 – RCE via Adobe ColdFusion (arbitrary file upload that can be used to upload a JSP web shell) – CVSS 9.8
- CVE-2019-0604 – RCE for Microsoft Sharepoint – CVSS 9.8
- CVE-2019-0708 – RCE of Windows Remote Desktop Services (RDS) – CVSS 9.8
- CVE-2019-11580 – Atlassian Crowd Remote Code Execution – CVSS 9.8
- CVE-2019-19781 – RCE of Citrix Application Delivery Controller and Citrix Gateway – CVSS 9.8
- CVE-2020-10189 – RCE for ZoHo ManageEngine Desktop Central – CVSS 9.8
- CVE-2014-1812 – Windows Local Privilege Escalation – CVSS 9.0
- CVE-2019-3398 – Confluence Authenticated Remote Code Execution – CVSS 8.8
- CVE-2020-0688 – Remote Command Execution in Microsoft Exchange – CVSS 8.8
- CVE-2016-0167 – local privilege escalation on older versions of Microsoft Windows – CVSS 7.8
- CVE-2017-11774 – RCE in Microsoft Outlook via crafted document execution (phishing) – CVSS 7.8
- CVE-2018-8581 – Microsoft Exchange Server escalation of privileges – CVSS 7.4
- CVE-2019-8394 – arbitrary pre-auth file upload to ZoHo ManageEngine ServiceDesk Plus – CVSS 6.5
En todo caso, el desarrollo es otro indicio de que ninguna empresa, contando las empresas de ciberseguridad, es inmune a los ataques dirigidos. Las principales empresas de ciberseguridad como Kaspersky Lab, RSA Security, Avast y Bit9 han sido víctimas de ataques dañinos durante la última década.
El incidente también tiene leves similitudes con la filtración de herramientas de hacking ofensiva de The Shadow Brokers utilizadas por la Agencia de Seguridad Nacional de EE.UU. en 2016, que también incluyó el exploit Zero-Day EternalBlue que luego se utilizó como arma para distribuir el ransomware WannaCry.
“Las empresas de seguridad son un objetivo principal para los operadores de los estados-nación por muchas razones, pero no menos importante es la capacidad de obtener información valiosa sobre cómo eludir los controles de seguridad dentro de sus objetivos finales”, dijo el cofundador de Crowdstrike, Dmitri Alperovitch.