Na última semana, uma notícia bombástica abalou a comunidade de segurança da informação: a FireEye, multinacional estadunidense com 16 anos de atuação no mercado de cybersecurity, revelou ter sido vítima de um incidente cibernético. Segundo uma nota publicada pela própria companhia, ela teria sido atacada por um “sofisticado grupo de hackers”, possivelmente de origem estatal, que roubaram ferramentas de intrusão usadas por sua equipe de serviços de red team.
- FireEye é invadida por supostos hackers estatais e tem ferramentas de red team roubadas
- A Avast rastreia dados de navegação dos usuários? Entenda a polêmica
- Não tá fácil: GitLab faz teste de phishing com seus funcionários e vários caem
A comunidade, obviamente, entrou em alerta vermelho — ferramentas de red team nada mais são do que verdadeiras armas utilizadas por profissionais éticos para testar o grau de segurança de clientes (com a devida permissão destes). Nas mãos erradas, podem se tornar altamente destrutivas. Para se ter uma ideia, aliás, vários clientes da FireEye são órgãos governamentais e outras corporações de grande porte.
“Recentemente, fomos atacados por um ator malicioso altamente sofisticado, cuja disciplina, segurança operacional e técnicas nos levam a acreditar que se trata de um ataque patrocinado por um estado. Este ataque é diferente das dezenas de milhares de incidentes aos quais respondemos ao longo dos anos”, afirmou Kevin Mandia, em outra nota divulgada posteriormente.
“Os atacantes adaptaram suas capacidades especificamente para visar e atacar a FireEye. Eles são altamente treinados em segurança operacional e executam com disciplina e foco. Eles operavam clandestinamente, usando métodos que se opunham a ferramentas de segurança e exames forenses. Eles usaram uma nova combinação de técnicas não testemunhadas por nós ou nossos parceiros no passado”, explica o executivo.
Ok, don’t panic...
É difícil manter a calma com o pronunciamento de Kevin, mas, ao que tudo indica, não há motivos para entrar em pânico. Embora os invasores tenham, de fato, obtido as tais ferramentas red team, tudo indica que eles visavam mesmo eram informações a respeito dos clientes governamentais da FireEye — algo que a companhia nega veemente que eles tenham obtido sucesso.
Cobrindo o incidente, o jornal The Washington Post, citando “fontes próximas” à gigante de cybersecurity, afirmou que há indícios de que os atacantes sejam membros do APT29 ou Cozy Bear, grupo hacker estatal da Rússia. A FireEye diz que não há indícios, até o momento, de que eles pretendem usar as ferramentas roubadas — e, se usarem, a marca já disponibilizou gratuitamente mais de 300 “contramedidas” para que as empresas se desviem de tais ataques. Nenhuma das ferramentas usa vulnerabilidades do tipo dia zero.
Essas contramedidas incluem — mas não estão limitadas a — divulgação de assinaturas, scripts e códigos das ferramentas comprometidas, para que equipes de segurança possam identificar ataques realizados através das próprias com agilidade. Algumas soluções de proteção de endpoint, como as da Malwarebytes, inclusive, chegaram a incorporar essas informações de “DNA” para proteger seus consumidores.
Tendência perigosa
É interessante perceber que, ao longo dos últimos tempos, empresas da área de segurança da informação estão, ironicamente, se tornando alvos de ataques cibernéticos. Em 2019, outro grupo russo afirmou ter invadido a McAfee, a Symantec e a Trend Micro; neste ano, a SANS foi vítima de um vazamento de dados. Isso, é claro, sem contar que, em 2017, a própria Agência de Segurança Nacional (NSA) dos Estados Unidos também teve ferramentas de espionagens desviadas pela equipe Shadow Brokers.
Tudo indica que os meliantes digitais perceberam que é muito mais proveitoso se infiltrar diretamente em quem defende do que lutar contra eles para atacar suas vítimas finais. A The Hack realizou um rápido levantamento com 110 executivos de segurança da informação brasileiros e, para 73% deles, ataques direcionados a empresas do ramo é sim uma tendência natural, já que os cibercriminosos perceberam as vantagens de comprometer esse tipo de empreendimento.
A The Hack entrou em contato com a diretoria da FireEye na América Latina para obter maiores esclarecimentos, mas a companhia não nos respondeu até o fechamento desta reportagem.
Fonte: The Washington Post, CSO Online, Dark Reading, Malwarebytes