Фирма FireEye, занимающаяся кибербезопасностью, которая играет заметную роль в борьбе с киберугрозами национальных государств, сама подверглась нападению со стороны «очень изощренного злоумышленника, чья дисциплина, оперативная безопасность и методы» Об этом заявил во вторник генеральный директор компании Кевин Мандиа
Это указывает на то, что атака, скорее всего, спонсируется государством, страной, «обладающей высочайшими наступательными возможностями».
FireEye расследует инцидент вместе с Федеральным бюро расследований США и другими ключевыми партнерами. включая Microsoft.
В прошлом году поставщик средств безопасности присоединился к Microsoft Intelligent Security Association (MISA), экосистеме независимых поставщиков программного обеспечения, которые интегрировали свои решения для повышения кибербезопасности.
Помощник директора киберотдела ФБР Мэтт Горхэм, как сообщается, сказал, что предварительные данные «показывают актера с высоким уровнем изощренности, совместимым с национальным государством».
Microsoft подтвердила, что помогает в расследовании, и отметила, что хакеры использовали редкую комбинацию методов для кражи инструментов FireEye.
«Этот инцидент демонстрирует, почему индустрия безопасности должна работать вместе, чтобы защищаться и реагировать на угрозы, исходящие от хорошо финансируемых противников, используя новые и изощренные методы атак», — говорится в широко известном заявлении Microsoft.
Хакеры, очевидно, адаптировали свои «возможности мирового класса специально для нацеливания и атаки FireEye», имеют высокую подготовку в области оперативной безопасности и действуют дисциплинированно и целеустремленно, отметила Мандиа. Они действовали тайно и использовали «новую комбинацию методов, не использованную нами или нашими партнерами в прошлом».
Атака «является еще одним доказательством того, что мотивированный хакер сможет взломать любую организацию, независимо от того, как хорошо это защищено », — сказал TechNewsWorld Илья Сотников, вице-президент по управлению продуктами Netwrix.
Netwrix разрабатывает программное обеспечение для управления изменениями, помогающее в проведении аудита безопасности и соблюдения нормативных требований.
Доступ к инструментам «красной команды»
Не совсем понятно, что хотели хакеры.
Мандиа сказала, что они в первую очередь искали информацию, касающуюся определенных государственных заказчиков FireEye, что соответствовало усилиям по шпионажу со стороны государства. FireEye имеет несколько государственных заказчиков.
Хакеры получили доступ к некоторым внутренним системам FireEye, но пока нет доказательств того, что какие-либо данные или метаданные были украдены.
С другой стороны, FireEye сообщила в своей форме 8-K, поданной в Комиссию по ценным бумагам и биржам США также 8 декабря, что хакеры нацелились и получили доступ к «определенным инструментам оценки Red Team», которые имитируют поведение многие киберугрозы и используются для проверки безопасности клиентов FireEye.
Ни один из инструментов не содержит эксплойтов нулевого дня — атак на аппаратные или программные уязвимости, которые становятся известны только тогда, когда они поражают жертву.
«Мы не уверены, намерен ли злоумышленник использовать наши инструменты Red Team или публично раскрыть их», — заявил FireEye.
«Я предполагаю, что украденные инструменты оценки FireEye Red Team будут использоваться … для создания вредоносного ПО, которое будет использовать распространенные уязвимости или настраивать существующее вредоносное ПО для более эффективного обхода киберзащиты», — сказал Сотников из Netwrix.
FireEye не обнаружила никаких доказательств того, что кто-либо из злоумышленников использовал украденные инструменты, но разработал более 300 мер противодействия украденным инструментам оценки Red Team для своих клиентов и сообщества в целом «из особой осторожности. "
Они публично публикуются на странице компании на GitHub. Она также внедрила контрмеры в свои продукты безопасности.
«Наш приоритет номер один — работать над усилением безопасности наших клиентов и более широкого сообщества», — заявила Мандиа. «Мы надеемся, что, поделившись подробностями нашего расследования, все сообщество будет лучше оснащено для борьбы с кибератаками и их отражения».
FireEye и другие специалисты по безопасности будут продолжать следить за любым использованием украденные инструменты.
Компания будет продолжать делиться и уточнять любые дополнительные меры по снижению рисков для этих инструментов по мере их появления, как публично, так и напрямую со своими партнерами по безопасности.
Учитывая, что FireEye разработала 300 контрмер и включила их в свои продукты безопасности, атака, должно быть, произошла несколько месяцев назад.
Однако директор FireEye по корпоративным коммуникациям Мелани Ломбарди отказалась сообщить TechNewsWorld дополнительную информацию о взломе.
Влияние взлома
«Взлом FireEye — не первое, что случилось с фирмой по кибербезопасности, но он может иметь долгосрочные последствия для организаций по всему миру», — сказал Сотников из Netwrix.
«Хотя эта атака не является прямым сравнением с утечкой украденных инструментов АНБ через Shadow Brokers в 2017 году, эта атака также может сделать передовые инструменты и методы атаки доступными для более широкого круга менее искушенных киберпреступников».
Shadow Brokers — группа хакеров, опубликовавшая несколько утечек хакерских инструментов, разработанных Агентством национальной безопасности США.
Продавцы «должны немедленно воспользоваться средствами противодействия, предлагаемыми командой FireEye, и проанализировать обнаружения, опубликованные в репозитории компании GitHub», — рекомендовал Сотников.
Организации «должны следить за обновлениями как инструментов безопасности, так и других систем и приложений, чтобы снизить возможные риски, и немедленно рассмотреть возможность установки исправлений». Риск атак с использованием украденных инструментов Red Teams «вполне реален».
Акции FireEye, Inc. (Nasdaq: FEYE) упали на 13 процентов на момент закрытия торгов сегодня после объявления об атаке. 
