Zgodnie z komunikatem prasowym od Fireeye nieznani hakerzy ukradli ostatnio narzędzia od firmy ochroniarskiej, której Fireeye używa do testowania obrony swoich klientów. Wśród klientów firmy znajdują się agencje rządowe USA i inne firmy, które były celem ataków IT lub chcą poprawić swoją ochronę.
Fireeye wyjaśnia, że jak dotąd nie ma dowodów na to, że skradzione narzędzia zostały użyte do dalszych ataków hakerów. Aby móc jak najszybciej podjąć środki zaradcze, Fireeye chce zapewnić przejrzyste informacje o narzędziach hakerskich i stosowanych lukach w zabezpieczeniach, według firmy. Powinno to ułatwić wdrożenie bezpośrednich środków zaradczych. Z Hosting w chmurze-platforma GitHub Fireeye opublikował już odpowiednie zasady dotyczące narzędzi bezpieczeństwa, takich jak ClamAV, Yara i Snort.
Cel hakerów: dane klienta z Fireeye
Oprócz narzędzi hakerskich, hakerzy próbowali również kopiować dane klientów, zgodnie z logami Fireeye'a. Byli oni szczególnie zainteresowani klientami rządowymi firmy. Według prezesa Fireeye, Kevina Mandia, nie zakłada się jeszcze, że napastnicy skutecznie ukradli dane klientów.
Wysoki profesjonalizm ataku i wybór Dane Fireeye mówi, że to wskazuje na hakerów rządowych. Jest to podejrzane przez FBI, które rozpoczęło dochodzenie.
Hakerzy z Rosji?
W jaki sposób The Wall Street Journal (WSJ) donosi, że władze śledcze uważają hakerów bliskich rosyjskim tajnym służbom za prawdopodobne. Umiejętności techniczne napastników wskazują, że atak mógł zostać przeprowadzony przez grupę, która ukradła maile Hillary Clinton w kampanii wyborczej w USA w 2016 roku, aby zaszkodzić kandydatowi Partii Demokratycznej. Jako powód tego założenia śledczy podają niezwykłą kombinację narzędzi hakerskich, które zostały użyte już w ataku w 2016 roku.
"Napastnicy dostosowali swoje światowej klasy zdolności specjalnie do ataku Fireeye'a".
Mandia
Nie obejmuje to eksploatacji bez dnia zerowego
Zgodnie z oświadczeniem firmy, do skradzionych narzędzi hakerskich nie zalicza się wyłudzeń zero-day. Wykaz używanych Podatności, w tym numery CVE zostały w międzyczasie opublikowane przez Fireeye. Są to głównie technologie sieciowe firmy Cisco oraz produkty dla przedsiębiorstw, takie jak VPN, Confluence, a także narzędzia Microsoftu, takie jak Exchange, Active Directory, Outlook i Windows. W celu zabezpieczenia wykradzionych wektorów ataku, priorytetem dla podatności są obecnie m.in. Aktualizacje dobrze przećwiczone.
