Les outils de piratage éthique de FireEye volés lors d’une attaque soutenue par l’État

Les attaquants travaillant pour le compte d’un acteur non divulgué de l’État-nation – probablement la Russie – ont compromis les systèmes de la société de cybersécurité FireEye et ont accé et volé un certain nombre d’outils de piratage qu’elle utilise pour effectuer des évaluations de la sécurité de ses clients.

Ces outils sont conçus pour tester la sécurité en imitant le comportement des acteurs de la cybermenace, permettant aux consultants de FireEye de fournir des services de sécurité diagnostique et des conseils aux organisations d’utilisateurs. Bien qu’aucun exploit actif de jour zéro n’ait été contenu en eux, leur vol est une source de grande préoccupation car, selon les mains dans qui ils tombent, ils pourraient maintenant être utilisés offensivement par des acteurs malveillants, par opposition à des pirates éthiques.

À cette fin, FireEye a déclaré qu’il était maintenant proactivement libérer des méthodes et des moyens de détecter l’utilisation de ses outils volés. Elle dispose déjà d’un arsenal de plus de 300 contre-mesures à la main pour ses clients, et l’ensemble de la communauté de la sécurité, afin de minimiser l’impact potentiel de la violation. Ceux-ci peuvent être trouvés à son référentiel GitHub.

Kevin Mandia, PDG de FireEye, a déclaré qu’il y avait un certain nombre de facteurs qui l’avaient amené à conclure l’incident était une attaque soutenue par l’État, et bien qu’il n’ait pas directement pointé du doigt les acteurs russes, il était clair que l’attaquant était soutenu par une nation avec des capacités de haut niveau. Il a ajouté qu’en étant ouvert sur l’incident dès le début, la communauté de la sécurité sera mieux équipée pour lutter contre ce qui pourrait arriver.

« Cette attaque est différente des dizaines de milliers d’incidents à laquelle nous avons répondu au fil des ans », a déclaré Mandia. « Les attaquants ont adapté leurs capacités de classe mondiale spécifiquement pour cibler et attaquer FireEye. Ils sont hautement qualifiés en sécurité opérationnelle et exécutés avec discipline et concentration. Ils opéraient clandestinement, en utilisant des méthodes qui contre-nt les outils de sécurité et l’examen médico-légal. Ils ont utilisé une nouvelle combinaison de techniques dont nous ou nos partenaires n’avons pas été témoins dans le passé.

« Nous enquêtons activement en coordination avec le Federal Bureau of Investigation (FBI) et d’autres partenaires clés, dont Microsoft. Leur analyse initiale étaye notre conclusion selon laquelle il s’agissait de l’œuvre d’un attaquant très sophistiqué parrainé par l’État utilisant de nouvelles techniques », a-t-il déclaré.

« Nous n’avons vu aucune preuve à ce jour qu’un attaquant a utilisé les outils volés red team. Nous, ainsi que d’autres membres de la communauté de la sécurité, continuerons de surveiller une telle activité. À l’heure actuelle, nous voulons nous assurer que toute la communauté de la sécurité est à la fois consciente et protégée contre la tentative d’utilisation de ces outils de l’équipe rouge.

Mandia a noté que, conformément aux efforts de cyberespionnage de l’État-nation, les attaquants de FireEye semblaient principalement à la recherche d’informations sur ses clients gouvernementaux. Il a ajouté que, même s’ils avaient accès à certains systèmes internes de l’entreprise, il n’y avait jusqu’à maintenant aucune preuve que les données ou les renseignements des clients provenant de sa pratique de réponse aux incidents ou de consultation, ou des métadonnées provenant de ses systèmes de renseignement sur les menaces, avaient été compromis. Si cela change, les clients concernés seront informés.

« Chaque jour, nous innovons et nous nous adaptons pour protéger nos clients contre les acteurs de la menace qui jouent en dehors des limites juridiques et éthiques de la société », a déclaré Mandia. « Cet événement n’est pas différent. Nous sommes confiants dans l’efficacité de nos produits et les processus que nous utilisons pour les affiner. Nous avons appris et continuons d’en apprendre davantage sur nos adversaires à la suite de cette attaque, et la plus grande communauté de sécurité émergera de cet incident mieux protégé. Nous ne serons jamais dissuadés de faire ce qui est juste.

L’attaque contre FireEye est un incident très important qui rappelle les attaques des Shadow Brokers contre la National Security Agency (NSA) des États-Unis, qui ont finalement abouti au vol des exploits utilisés dans les attentats dévastateurs de WannaCry en mai 2017.

Le groupe a ensuite mis en place un service d’abonnement pour les exploits purloined zero-day, et il ya eu des spéculations répandues déjà que l’incident FireEye peut entraîner un résultat similaire.

L’attaque est également une démonstration presque parfaite du fait que, même avec les contrôles de sécurité optimaux et les politiques étanches en place, les organisations n’ont aucun contrôle sur la question de savoir si elles sont victimes ou non d’une cyberattaque – en outre, qu’il n’y a pas de honte à être ouvertes et transparentes à leur sujet.