Ricordiamo che FireEye è la società che supporta agenzie governative e stati della Federazione, tra cui FBI ed NSA, per non parlare dell'industria americana.
E' stata FireEye ad informare i propri clienti dell'accaduto attraverso un post sul blog della società in cui si descrivono gli hackers come altamente professionali e si dice che l'attacco è stato effettuato impiegando tecniche e procedure mai impiegate prima e studiate appositamente per l'occasione, cosa che fa pensare che ci sia dietro uno stato ben addentro nel settore con intendo di effettuare attività di spionaggio.
FireEye sta collaborando con FBI e Microsoft per svolgere tutte le indagini necessarie.
Nel corso delle investigazioni FireEye si è accorta che gli hacker hanno sottratto alcuni degli strumenti impiegati dai propri Red Teams per eseguire attività di pentesting. Strumenti che se impiegati da malintenzionati potrebbero essere molto pericolosi. La società ha affermato che, per precauzione, ha sviluppato più di 300 tools per minimizzare l'impatto dell'eventuale impiego di tali strumenti contro i propri clienti (o del rilascio di tali strumenti al pubblico).
In un altro post la società spiega quali tools sono stati sottratti e indica un elenco di contromisure già rilasciate.
Che dire di più? Sembra che tutto stia procedendo per il meglio...
Ma mi viene spontaneo esprimere qualche mio pensiero a voce alta.
In primo luogo tutti sanno che i tools per fare penetration testing sono generalmente pubblici (ma non quelli privati delle società che li hanno sviluppati per proprio business), ciò che fa la differenza sono le capacità delle organizzazioni che li impiegano, la capacità di una organizzazione di sostenere una operazione per lungo tempo, l'esperienza degli hacker...
I tools di penetration testing sono in pratica delle armi, più o meno potenti, che vengono usati (dai buoni) per testare i sistemi amici e indicare come è possibile proteggerli meglio. Se concordate fino a qui, concorderete sul fatto che trattandosi di "armi" personalizzate, sicuramente erano ben custodite e pensare che una delle principali società del settore si sia fatta sottrarre delle "armi" da un altro stato, quando si sa che gli Stati Uniti sono i più forti nel settore, beh, diciamo che qualche dubbio viene. Se le cose stanno così, è più facile pensare ad un furto dall'interno che non ad un attacco dall'esterno. Inoltre sembra che questa volta la FireEye non abbia indicato quale stato potrebbe essere dietro all'attacco, cosa strana dato che una delle sue attività è proprio quella di individuare la provenienza delle ATP.
La società ha affermato che tra i tools sottratti non vi sono Zero-Day exploits ne tecniche non note. Però ha anche affermato di aver rilasciato più di 300 contromisure... anche in queste frasi mi sembra vi siano delle contraddizioni. A cosa servono delle specifiche contromisure se non vi è niente di nuovo? Se fosse vero che non gli è stato sottratto niente di nuovo non penso sarebbe stato necessario rilasciare centinaia di tools di contromisure... ma tant'è!
Infine, e purtroppo si tratta della questione più sensibile, siamo sicuri che non sia stato sottratto altro? Spesso, per poter effettuare lavori di pentesting, occorre raccogliere informazioni sui sistemi che si vuol rendere più sicuri, informazioni che in mano a persone capaci mostrano i punti deboli dei sistemi. Sappiamo che la FireEye lavora con agenzie nazionali americane per cui è pensabile che tra i dati in suo possesso vi siano anche dati riguardanti le infrastrutture critiche sulle quali stanno lavorando o hanno lavorato. Se questi dati sono andati in mano a malintenzionati, semplici criminali o stati nemici, le cose potrebbero complicarsi per tutti...
Alessandro Rugolo
Per approfondire:
- FireEye Shares Details of Recent Cyber Attack, Actions to Protect Community | FireEye Inc
- FireEye, a top U.S. cybersecurity company, says it was hacked (nbcnews.com)
- Unauthorized Access of FireEye Red Team Tools | FireEye Inc
- FireEye hacké ! Ses outils Red Team ont été dérobés ! (programmez.com)
- GitHub - fireeye/red_team_tool_countermeasures
- FireEye piraté : le géant de la cybersécurité y voit la main d’un Etat - CNET France
Nessun commento:
Posta un commento