FireEye, una delle principali società di sicurezza al mondo, è rimasta vittima di un sofisticato attacco hacker durante il quale aggressori ancora sconosciuti sono riusciti a rubare l’arsenale di strumenti di penetration test che il Red Team della società utilizza per testare le difese dei suoi clienti e progettati proprio per “imitare” gli strumenti utilizzati da molti attori di minacce informatiche.
Strumenti che ora potranno essere usati per un’ondata di attacchi in tutto il mondo.
Lo ha confermato Kevin Mandia, Amministratore Delegato e Direttore del Consiglio di Amministrazione, secondo cui la sicurezza operativa e le tecniche adoperate dagli attaccanti portano a credere che si sia trattato di un attacco state-sponsored, quasi certamente la Russia (ed in particolare il gruppo hacker APT29 “Cozy Bear” già famoso per una campagna malevola mirata al furto del vaccino contro il coronavirus), con capacità offensive di alto livello e di cui al momento non si conoscono ancora i dettagli.
“La situazione è molto complessa e pericolosa”, commenta al nostro giornale Pierluigi Paganini, professore alla School of Law – Master in Cybersecurity presso la Luiss Guido Carli di Roma.
Oltre ai danni economici e reputazionali per FireEye, infatti, l’attacco rischia di esporre anche tantissimi clienti che usano i prodotti della società di sicurezza per mettere al riparo il proprio perimetro virtuale e il capitale intellettuale.
FireEye ha dichiarato che sta attivamente indagando sulla violazione in coordinamento con il Federal Bureau of Investigation (FBI) degli Stati Uniti, che forse non a caso ha affidato l’indagine ai suoi specialisti russi, e altri partner chiave, tra cui Microsoft, sebbene non sia ancora riuscita a identificare un colpevole specifico dietro alla violazione né ha rivelato quando ha avuto luogo esattamente l’attacco.
Indice degli argomenti
Attacco a FireEye: cosa sta succedendo
Da quello che si sa finora, il threat actor che ha violato le difese di FireEye ha preso di mira specificamente le risorse tecniche della società e ha utilizzato tattiche progettate per contrastare sia l’esame forense che gli strumenti di sicurezza che rilevano attività dannose.
Quali strumenti sono stati rubati
Gli strumenti rubati vanno da semplici script usati per automatizzare il riconoscimento delle minacce a interi framework che sono simili a tecnologie disponibili al pubblico come CobaltStrike e Metasploit.
Da FireEye fanno sapere, comunque, che molti degli strumenti contenuti nel suo arsenale erano già stati resi disponibili alla comunità internazionale di cyber security oppure erano stati distribuiti come parte della macchina virtuale open source CommandoVM di FireEye.
Dai dettagli che continuano ad emergere, comunque, sembra che l’aggressore fosse interessato soprattutto ai dati relativi ad alcuni clienti governativi e per accedervi avrebbe usato una nuova combinazione di tecniche di attacco sconosciute agli stessi analisti di FireEye.
Non sembra esserci stata esfiltrazione di dati
L’attacco è “diverso dalle decine di migliaia di incidenti a cui abbiamo risposto nel corso degli anni”, ha detto ancora l’Amministratore Delegato di FireEye, che ha svelato anche un altro preoccupante dettaglio dell’attacco: “gli aggressori hanno adattato le loro capacità di livello mondiale in modo specifico per colpire e attaccare FireEye”.
Al momento, si legge sul blog aziendale di FireEye, non sembra esserci alcuna prova in merito al fatto che l’aggressore abbia esfiltrato dati dai sistemi che memorizzano le informazioni sui clienti e sulle risposte agli incidenti subiti da questi ultimi, né tantomeno sembrerebbe esserci stato un furto di metadati raccolti dai sistemi dinamici di intelligence sulle minacce.
Cosa dobbiamo aspettarci adesso
La buona notizia è che gli strumenti del Red Team rubati nell’attacco a FireEye non sono ancora stati utilizzati in attacchi confermati.
“Non siamo sicuri se l’aggressore intenda utilizzare i nostri strumenti del Red Team o divulgarli pubblicamente”, ha dichiarato l’Amministratore Delegato di FireEye. “Ciononostante, per eccesso di cautela, abbiamo sviluppato più di 300 contromisure per i nostri clienti, e per la comunità in generale, da utilizzare al fine di ridurre al minimo l’impatto potenziale del furto di questi strumenti”.
In particolare, gli analisti di FireEye hanno messo a punto delle contromisure (la lista, costantemente aggiornata, è disponibile su GitHub) che possono rilevare o bloccare l’uso degli strumenti rubati, così come altrettante contromisure sono state già implementate nei prodotti di sicurezza sviluppati dalla società.
Il commento di Pierluigi Paganini
Ancora Pierluigi Paganini commenta al nostro giornale: “Al momento abbiamo certezza del fatto che gli attaccanti hanno avuto accesso all’arsenale che FireEye ha costruito sulla base degli incidenti che ha gestito nel tempo, tre essi molti attacchi nation state: l’azienda esclude la presenza di zero-day nell’arsenale, ma la disponibilità di questi tool da parte di un attaccante è molti preoccupante. L’attore governativo che ha compromesso FireEye è sicuramente molto avanzato e potrebbe utilizzare questi tool in campagne di cyber spionaggio già nelle prossime settimane, rendendo impossibile l’attribuzione degli attacchi”.
“L’ attore nation state dietro l’attacco”, continua Paganini, “ha inoltre acquisito preziose informazioni sulle attività dell’azienda FireEye e sulle sue capacità di detection delle minacce relative agli attacchi analizzati dalla stessa sino ad oggi. Questa conoscenza è preziosa per un attaccante che può sfruttarla per raffinare i propri attacchi rendendoli di complessa individuazione. Altro rischio è conseguente alla possibilità che siano stati ottenuti dati relativi alle soluzioni dell’azienda in uso da parte di molti enti governativi, ma su questo punto occorrono ulteriori verifiche e maggiori informazioni da parte dell’azienda”.
