Ciekawe włamanie do jednej z najlepszych firm reagujących na włamania

dodał 9 grudnia 2020 o 11:07 w kategorii Włamania  z tagami:
Ciekawe włamanie do jednej z najlepszych firm reagujących na włamania

Firmy walczące z najbardziej sprawnymi napastnikami z definicji są bardziej narażone na zaawansowane ataki. O tym, jak trudna jest obrona przed zdeterminowanym napastnikiem, najlepiej świadczy fakt, że napastnikom czasem się udaje.

FireEye, jedna z najbardziej znanych firm z sektora cyberbezpieczeństwa, specjalizująca się m.in. w zapobieganiu incydentom i analizach powłamaniowych, ogłosiła, że padła ofiarą skutecznego włamania.

Co wiemy o włamaniu

O włamaniu wiemy zarówno wiele, jak i niewiele. Wiele – bo firma przyznała się, że do incydentu doszło (to rzadkość) i opisała, co skradziono (o tym za chwilę). Niewiele – bo nie wiemy, kiedy doszło do włamania, jak włamywacze dostali się do systemów FireEye, jakich technik używali – znamy tylko dość ogólnikowe określenia ich poziomu zaawansowania. Dlaczego firma, specjalizująca się w profesjonalnych analizach powłamaniowych, nie opublikowała wyników własnego śledztwa? Jak się dowiedzieliśmy, powodem jest zaangażowanie organów ścigania, których pracę publikacja raportu może utrudnić. Pozostaje zatem w tej kwestii czekać, aż raport będzie można opublikować, z nadzieją, że się doczekamy.

Co zatem wiemy? Oto destylat komunikatu FireEye:

  • poziom dyscypliny, skupienia, bezpieczeństwa operacji i techniki sugeruje działanie wywiadu jakiegoś państwa o najwyższych umiejętnościach,
  • atak był inny od tysięcy wcześniej analizowanych przez firmę u klientów, używał nowego połączenia technik, które nie było obserwowane wcześniej,
  • atak był przygotowany specjalnie pod FireEye,
  • napastnik działał po cichu, omijając mechanizmy bezpieczeństwa i utrudniając analizę śledczą,
  • atakujący zainteresowany był konkretnymi rządowymi klientami FireEye,
  • atakujący uzyskał dostęp do niektórych wewnętrznych systemów firmy i ukradł ofensywne narzędzia stworzone przez FireEye.

Co skradziono?

FireEye informuje, że włamywacze zabrali ze sobą zestaw narzędzi, używanych przez firmę do symulowania ataków prawdziwych napastników w tzw. operacjach red team. Co z kolei wiemy o tym obszarze:

  • narzędzia nie zawierały błędów typu 0-day,
  • nie wiadomo, czy zostały wykradzione w celu ich opublikowania czy używania,
  • do tej pory nie zaobserwowano ich nieautoryzowanego użycia.

Co bardzo ważne, FireEye opublikowało cały zestaw informacji umożliwiający wykrycie wykradzionych narzędzi. Powstało dedykowane repozytorium na GitHubie, skąd można pobrać gotowe reguły Snorta, YARA czy ClamAV.

Interesującą obserwację opublikowała firma BishopFox. Według jej analizy duża część sygnatur wskazuje na narzędzia typu open source (co nie jest niczym dziwnym – po co wymyślać koło od nowa).

Ciekawym elementem opublikowanych informacji jest lista CVE, używanych przez red team FireEye, posortowana według subiektywnej oceny priorytetów w zakresie łatania podatności. Warto, by każda osoba odpowiedzialna za aktualizacje spojrzała na nią życzliwym wzrokiem i upewniła się, że nie ma w swojej organizacji powodów do zmartwienia.

Co ciekawe, Florian Roth przygotował listę plików z VT, które pasują do sygnatur YARA opublikowanych przez FireEye – można więc sprawdzić, jak niektóre narzędzia faktycznie wyglądały.

Nie tylko FireEye

Warto zauważyć, że włamania tej kategorii (a także kradzieże narzędzi) nie są niczym szczególnie nowym. Kaspersky był zhakowany przez wywiad Izraela, narzędzia NSA (wraz z 0-dayami) sprzedawane i rozdawane były przez The Shadow Brokers, z CIA wyniesiono spory zestaw narzędzi, włamania dotknęły także RSA (seedy tokenów), Bit9 (klucze podpisujące kod), z Symanteca wykradziono kod źródłowy (opisywał to nasz pierwszy artykuł w historii) – takie przykłady można mnożyć.

Pozostaje teraz czekać na raport z incydentu.