Respuesta ejemplar de FireEye tras sufrir un ataque que expone herramientas de Red Team

El 8 de Diciembre, cerrada la bolsa, Kevin Mandia (CEO de FireEye) compartía a través de la web de la compañía californiana las acciones que se están tomando como respuesta ante la intrusión que ha permitido el robo de herramientas de Red Team empleadas por FireEye. Entre las acciones que se están llevando a cabo destacan:

Preparación de contramedidas para detectar o bloquear el uso de las herramientas de red team accedidas por los atacantes.

Implementación de contramedidas en los productos de seguridad.
Implementación de contramedidas con el resto de la comunidad de seguridad.
Publicación de las contramedidas a través de un post que están manteniendo.

En concreto, cabe destacar el repositorio público en GitHub con reglas Snort, Yara, ClamAV y HXIOC compartidas con la comunidad. Todo un ejemplo de gestión de este tipo de incidente, en el que la empresa de seguridad ha demostrado ser consciente del riesgo que la filtración de este tipo de herramientas entraña.

Resultados de retrohunt de VirusTotal para las reglas Yara publicadas por FireEye (documento público).
Las herramientas de red team están diseñadas para conseguir acceso a objetivos dentro de una organización. Los equipos de seguridad usan sus propios arsenales para ponerse en la piel del atacante y posteriormente elaborar los informes que permiten mejorar la respuesta mediante los planes de seguridad. El objetivo final de este procedimiento es proteger a sus clientes, otras empresas. En este caso es la armería de FireEye la afectada, tras un ataque dirigido, pero no es el único caso ni será el último.

Entre las herramientas accedidas se encuentran desde scripts usados para la automatización del reconocimiento a frameworks completos similares a tecnologías como CobalStrike y Metasploit. No obstante, conforme a las declaraciones de FireEye, no hay exploits zero-day involucrados, y todas las herramientas emplean métodos que actualmente son conocidos por los profesionales de ciberseguridad.

Como parte del comunicado, K. Mandia describía parte de la operativa del atacante: búsqueda principalmente de información relacionada con ciertos clientes del gobierno americano, lo que hace que este ataque apunte a un esfuerzo de ciber-espionage por parte de un estado-nación. En particular, en esta ocasión las fuentes sostienen que diversas evidencias apuntan a agencias de inteligencia Rusas.

Según el New York Times este incidente es el mayor robo de herramientas de ciberseguridad desde que el grupo ShadowBrokers publicase herramientas de la NSA (National Security Agency) en 2016. A diferencia de dicho caso, en el que las herramientas fueron concebidas como armas para uso activo, en este caso las herramientas se construyeron a partir de malware identificado por la compañía. En cualquier caso, un atacante podría aprovechar estas herramientas para acceder a sistemas adversarios sin necesidad de exponer su propio arsenal.

Pese a tener la posibilidad de acceder a los sistemas internos de la compañía, por el momento no se han reportado casos de exfiltración de datos que afecten a información de clientes. La compañía indica que de ocurrir, contactarán con los afectados.

La noticia en sí de este ataque tiene dos lecturas principales. Por un lado, el acceso a herramientas de red team propietarias empleadas por una compañía puntera en ciberseguridad. Esto pone de manifiesto que aún con una política de seguridad fuerte los ataques dirigidos pueden hacer estragos. Por otro lado, la respuesta dada por FireEye es ejemplar: no sólo han mostrado transparencia sobre el incidente, sino que han compartido con la comunidad reglas que permiten identificar el uso de estas herramientas.

Ver información original al respecto en Fuente>