Ifølge en pressemeddelelse fra Fireeye ukendte hackere har for nylig stjålet værktøjer fra det sikkerhedsfirma, som Fireeye bruger til at teste sine kunders forsvar. Virksomhedens kunder omfatter amerikanske regeringsorganer og andre virksomheder, der har været udsat for it-angreb eller ønsker at forbedre deres beskyttelse.
Fireeye forklarer, at der indtil videre ikke er tegn på, at de stjålne værktøjer er blevet brugt til yderligere hackerangreb. For at kunne iværksætte modforanstaltninger så hurtigt som muligt vil Fireeye ifølge virksomheden gerne give gennemsigtige oplysninger om hackerværktøjerne og de anvendte sikkerhedshuller. Dette skulle gøre det lettere at gennemføre direkte modforanstaltninger. Med den Cloud-hosting-Platform GitHub Fireeye har allerede offentliggjort tilsvarende regler for sikkerhedsværktøjer som ClamAV, Yara og Snort.
Hackernes mål: kundedata fra Fireeye
Ud over hackerværktøjer forsøgte hackerne også at kopiere kundedata, ifølge Fireeyes logfiler. De var især interesserede i virksomhedens offentlige kunder. Ifølge Fireeyes administrerende direktør Kevin Mandia er det endnu ikke sikkert, at angriberne har stjålet kundedata med succes.
Den høje professionalisme i angrebet og udvælgelsen af de Data ifølge Fireeye, peger på statslige hackere. Dette mistænkes af FBI, som har indledt efterforskningen.
Hackere fra Rusland?
Hvordan den Wall Street Journal (WSJ) rapporterer, mener efterforskerne, at hackere tæt på den russiske efterretningstjeneste sandsynligvis står bag angrebet. Angribernes tekniske færdigheder tyder på, at angrebet kan være udført af den gruppe, der stjal e-mails fra Hillary Clinton under valgkampen i USA i 2016 med henblik på at skade det demokratiske partis kandidat. Efterforskerne angiver en usædvanlig kombination af hackerværktøjer, der blev brugt i angrebet i 2016, som årsag til denne antagelse.
"Angriberne har skræddersyet deres evner i verdensklasse specifikt til at angribe Fireeye."
Mandia
Der er ingen Zeroday-eksperter inkluderet
Zeroday-eksperter er ikke inkluderet i de stjålne hackerværktøjer, ifølge virksomhedens erklæring. En liste over de anvendte Sikkerhedssårbarheder, herunder CVE-numre er blevet offentliggjort af Fireeye i mellemtiden. Det drejer sig primært om netværksteknologi fra Cisco og virksomhedsprodukter som f.eks. VPN'er, Confluence samt Microsoft-værktøjer som Exchange, Active Directory, Outlook og Windows. For at sikre de stjålne angrebsvektorer er følgende sårbarheder nu prioriteret Opdateringer registreret.
