FireEye, una empresa valorada en 3500 millones de dólares que ayuda a los clientes a responder a algunos de los ataques cibernéticos más sofisticados del mundo, ha sido pirateada, muy probablemente por un estado-nación bien dotado que se las arregló con herramientas de ataque del “equipo rojo” utilizadas para perforar las defensas de la red. .
La revelación, hecha en un comunicado de prensa publicado después del cierre de los mercados bursátiles el martes, es un evento significativo. Con una capitalización de mercado de $3500 millones y algunos de los empleados más experimentados en la industria de la seguridad, las defensas de la empresa son formidables. A pesar de esto, los atacantes pudieron infiltrarse en la red fuertemente fortificada de FireEye utilizando técnicas que nadie en la empresa había visto antes.
El ataque también plantea el espectro de que un grupo que ya era capaz de penetrar en una empresa con la destreza y los recursos de seguridad de FireEye ahora está en posesión de herramientas de ataque patentadas, un robo que podría convertir a los piratas informáticos en una amenaza aún mayor para las organizaciones de todo el mundo. FireEye dijo que las herramientas robadas no incluían ningún exploit de día cero. Las acciones de FireEye cayeron alrededor de un 7 por ciento en el comercio extendido luego de la divulgación.
Hasta el momento, la compañía no ha visto evidencia de que las herramientas se estén utilizando activamente en la naturaleza y no está segura de si los atacantes planean usarlas. Estas herramientas son utilizadas por los llamados equipos rojos, que imitan a los piratas informáticos maliciosos en ejercicios de entrenamiento que simulan ataques de piratería del mundo real. FireEye ha lanzado un tesoro de firmas y otras contramedidas que los clientes pueden usar para detectar y repeler los ataques en caso de que se usen las herramientas. Algunos investigadores que revisaron las contramedidas dijeron que parecían mostrar que las herramientas no eran particularmente sensibles.
El comunicado del martes fue escrito por el CEO de FireEye, Kevin Mandia. El escribio:
Basado en mis 25 años en seguridad cibernética y respondiendo a incidentes, he llegado a la conclusión de que estamos presenciando un ataque por parte de una nación con capacidades ofensivas de primer nivel. Este ataque es diferente a las decenas de miles de incidentes a los que hemos respondido a lo largo de los años. Los atacantes adaptaron sus capacidades de clase mundial específicamente para apuntar y atacar a FireEye. Están altamente capacitados en seguridad operativa y se ejecutan con disciplina y enfoque. Operaron clandestinamente, utilizando métodos que contrarrestan las herramientas de seguridad y el examen forense. Utilizaron una combinación novedosa de técnicas que ni nosotros ni nuestros socios presenciamos en el pasado.
Estamos investigando activamente en coordinación con la Oficina Federal de Investigaciones y otros socios clave, incluido Microsoft. Su análisis inicial respalda nuestra conclusión de que este fue el trabajo de un atacante patrocinado por el estado altamente sofisticado que utilizó técnicas novedosas.
El atacante buscó principalmente información relacionada con algunos de los clientes gubernamentales de FireEye, pero aún no está claro si lo logró. Mandia dijo que FireEye no ha encontrado evidencia de que los piratas informáticos hayan extraído datos de los sistemas principales de la empresa que almacenan información de los clientes a partir de respuestas a incidentes o compromisos de consultoría. Tampoco hay evidencia de que los atacantes hayan obtenido metadatos recopilados por productos de inteligencia de amenazas.
FireEye no proporcionó detalles sobre el origen de los atacantes más allá de decir que la evidencia sugería fuertemente que estaban patrocinados por un estado-nación. The New York Times informó que el FBI entregó la investigación a sus especialistas rusos, lo que sugiere que el Kremlin está detrás del ataque.
The Washington Post fue un paso más allá, citando a una fuente no identificada que dijo que el ataque parecía ser obra del servicio de inteligencia ruso SVR. Si es cierto, eso significa que los piratas informáticos pertenecen a un grupo que tiene una variedad de apodos, incluidos APT 29, Cozy Bear y Dukes. El grupo, que fue uno de los dos equipos de piratería rusos que violaron el Comité Marketingdecontenido Demócrata en 2023, está vinculado al país según la firma de seguridad CrowsStrike.
El FBI rara vez confirma las investigaciones, incluso cuando las víctimas ya las han denunciado. Sin embargo, el martes, Matt Gorham, subdirector de la división cibernética del FBI, emitió un comunicado que decía en parte: “El FBI está investigando el incidente y las indicaciones preliminares muestran a un actor con un alto nivel de sofisticación consistente con un estado nación. «
Mientras tanto, el senador Mark R. Warner (D-VA), vicepresidente del Comité Selecto de Inteligencia del Senado y copresidente del Caucus de Seguridad Cibernética del Senado, emitió un comunicado que decía: “El ataque a una firma de seguridad cibernética de primer nivel demuestra que incluso las empresas más sofisticadas son vulnerables a los ciberataques. Aplaudo a FireEye por hacer pública rápidamente esta noticia y espero que la decisión de la empresa de revelar esta intrusión sirva de ejemplo para otros que enfrentan intrusiones similares».
FireEye no es la única empresa de seguridad que ha sufrido un ataque perjudicial. En 2011, RSA dijo que se vio afectada por una infracción que permitió a los atacantes robar datos que «podrían potencialmente usarse para reducir la efectividad de una implementación actual de autenticación de dos factores», una declaración que sugirió la información relacionada con el producto SecurID de la compañía, utilizado por 40 millones de personas en ese momento, había sido atacado.
En 2013, los delincuentes irrumpieron en Bit9, robaron uno de sus certificados criptográficos y lo usaron para infectar a tres de sus clientes con malware.
Y en 2023, Kaspersky Lab reveló que el malware derivado de Stuxnet, el malware que EE. UU. e Israel supuestamente lanzaron contra Irán, había infectado su red y permaneció sin ser detectado durante meses.
