A FireEye, tradicional empresa de cibersegurança com sede na Califórnia (EUA), revelou, na última terça-feira (8), ter sido vítima de um ataque aparentemente planejado por agentes do Estado. De acordo com um comunicado publicado em seu blog oficial, a empresa teve várias ferramentas proprietárias da equipe vermelha roubadas pelos invasores – felizmente, ao que parece, esse conteúdo ainda não está sendo compartilhado na web.
As ferramentas da equipe vermelha são, em resumo, recursos usados para testar a defesa cibernética de seus clientes – que, no caso da FireEye, inclui multinacionais e agências governamentais federais, estaduais e locais. Estamos falando de scripts, scanners e outros recursos capazes de identificar vulnerabilidades em sistemas, imitando a ação de criminosos reais, para fornecer à equipe azul uma visão sobre pontos inseguros em sistemas.
As ferramentas roubadas variam de scripts simples usados para automatizar o reconhecimento a frameworks inteiros que são semelhantes a tecnologias disponíveis publicamente, como CobaltStrike e Metasploit. Muitas das ferramentas da equipe vermelha já foram lançadas para a comunidade e já estão distribuídas em nossa máquina virtual de código aberto, CommandoVM ”, explicou FireEye.
(Reprodução: NBC News)
Jake Williams, um ex-agente da Agência de Segurança Nacional (NSA) e presidente da Rendition Infosec, disse ao The Guardian que o modus operandi dos invasores lembra muito as táticas de ação dos grupos de hackers do governo russo. É difícil saber se os agentes maliciosos pretendem usar as ferramentas de forma ofensiva contra alvos-chave ou se desejam disponibilizá-las ao público – ambas as possibilidades são preocupantes.
“Para permitir que a comunidade detecte essas ferramentas, estamos publicando contramedidas para ajudar as organizações a identificar essas ferramentas, caso sejam identificadas. Em resposta ao roubo de nossas ferramentas da equipe vermelha, lançamos centenas de contramedidas para tecnologias disponíveis publicamente, como OpenIOC, Yara, Snort e ClamAV ”, acrescenta FireEye.
A marca também garante que nenhuma de suas ferramentas faça uso de vulnerabilidades de dia zero, baseadas apenas em brechas e táticas de invasão conhecidas no setor. Todas as contra-medidas anunciadas foram hospedadas no GitHub da empresa e estão sendo incorporadas às soluções de defesa para clientes críticos, como o Departamento de Segurança Interna dos Estados Unidos.
Fonte: FireEye, The Guardian
