A FireEye, tradicional empresa de segurança cibernética sediada na Califórnia (EUA), revelou, nesta última terça-feira (8), ter sido vítima de um ataque aparentemente elaborado por agentes estatais. Segundo um comunicado publicado em seu blog oficial, a companhia teve diversas ferramentas proprietárias de red team roubadas pelos invasores — felizmente, ao que tudo indica, esse conteúdo ainda não está sendo compartilhado na web.
- Fabricante de notebooks Compal sofre ataque de ransomware, mas diretor nega
- Exclusivo: Universidade Positivo pode ter sido vítima de ransomware
- Embraer sofre ataque cibercriminoso e desliga servidores por precaução
Ferramentas de red team são, em resumo, recursos utilizados para testar a defesa cibernética de seus clientes — o que, no caso da FireEye, inclui multinacionais e agências governamentais federais, estaduais e locais. Estamos falando de scripts, scanners e outros recursos capazes de identificar vulnerabilidades em sistemas, mimetizando a ação de criminosos reais, para prover ao blue team uma visão sobre pontos inseguros em sistemas.
As ferramentas roubadas variam de scripts simples usados para automatizar o reconhecimento a frameworks inteiros que são semelhantes a tecnologias publicamente disponíveis, como CobaltStrike e Metasploit. Muitas das ferramentas red team já foram lançadas para a comunidade e já estão distribuídas em nossa máquina virtual de código aberto, a CommandoVM”, explicou a FireEye.
Jake Williams, ex-agente da Agência de Segurança Nacional (NSA) e presidente da Rendition Infosec, afirmou ao The Guardian que o modus operandi dos invasores lembra muito as táticas de ação de grupos hackers do governo russo. É difícil saber se os agentes maliciosos pretendem utilizar as ferramentas de forma ofensiva contra alvos-chave ou se desejam disponibilizá-las ao público — ambas as possibilidades são preocupantes.
“Para capacitar a comunidade a detectar essas ferramentas, estamos publicando contramedidas para ajudar as organizações a identificar essas ferramentas caso elas sejam identificadas. Em resposta ao roubo de nossas ferramentas red team, lançamos centenas de contramedidas para tecnologias disponíveis publicamente como OpenIOC, Yara, Snort e ClamAV”, complementa a FireEye.
A marca também garante que nenhuma de suas ferramentas faz uso de vulnerabilidades do tipo dia zero, baseando-se apenas em brechas conhecidas e táticas de invasão conhecidas no setor. Todas as contramedidas anunciadas foram hospedadas no GitHub da companhia e estão sendo incorporadas nas soluções de defesa de clientes críticos, como o Departamento de Segurança Interna dos Estados Unidos.
Fonte: FireEye, The Guardian