Qui est derrière la brèche FireEye?

«Cette attaque est différente des dizaines de milliers d'incidents auxquels nous avons répondu au fil des ans», a déclaré Mandia.

«Les attaquants ont adapté leurs capacités de classe mondiale spécifiquement pour cibler et attaquer FireEye. Ils sont hautement qualifiés en sécurité opérationnelle et exécutés avec discipline et concentration. Ils ont opéré clandestinement, en utilisant des méthodes qui contrecarrent les outils de sécurité et les examens médico-légaux. Ils ont utilisé une nouvelle combinaison de techniques dont nous ou nos partenaires n’avons pas été témoins dans le passé. »

La discipline, la sécurité opérationnelle et les techniques des attaquants indiquent qu'il s'agit d'une attaque parrainée par l'État, pensait que Mandia s'était abstenue de dire ou de spéculer sur quel État-nation pourrait être derrière cela. (Selon le New York Times , les principaux suspects en ce moment sont des pirates informatiques russes.) Les attaquants ont accédé et volé les outils Red Team de FireEye, que l'entreprise utilise pour sonder la position de sécurité d'autres organisations afin de les aider à l'améliorer.

«Les outils volés vont de simples scripts utilisés pour automatiser la reconnaissance à des frameworks entiers qui sont similaires aux technologies accessibles au public telles que CobaltStrike et Metasploit. La plupart des outils de l' équipe Red ont déjà été libérés à la communauté et sont déjà distribués dans notre machine virtuelle open-source, CommandoVM, » que la société a partagée .

«Certains des outils sont des outils accessibles au public modifiés pour échapper aux mécanismes de détection de sécurité de base. D'autres outils et cadres ont été développés en interne pour notre équipe rouge. » Les attaquants ne voulaient pas seulement les outils - ils se sont également attaqués aux informations relatives aux clients gouvernementaux de FireEye. Mais bien qu'ils aient pu accéder à certains des systèmes de l'entreprise, Mandia a déclaré n'avoir vu aucune preuve d'exfiltration réussie des données liées à la réponse aux incidents et aux missions de conseil ou aux métadonnées collectées par leurs produits.

Et maintenant?

Microsoft et le FBI ont été appelés pour aider à l'enquête sur la violation de FireEye. Ils disent que rien n'indique que les attaquants ont commencé à utiliser les outils volés ou qu'ils les ont divulgués. Néanmoins, la société a créé des contre-mesures - règles Snort, Yara, ClamAV - pour détecter et / ou bloquer leur utilisation, les a partagées publiquement pour que tout le monde les utilise et les a implémentées dans leurs propres produits de sécurité. Ils ont également compilé une liste de vulnérabilités dont les outils tirent parti (aucune d'entre elles n'est «zéro jour»).

Il reste à voir quel impact aura la brèche sur l'entreprise à long terme. Pour le moment, ses actions ont chuté de 8% et ils disposent d'un ensemble d'outils Red Team qui peuvent être facilement déjoués. Bien que ce type d'arsenal d'outils soit continuellement élargi et modifié, il leur faudra probablement un certain temps pour l'aiguiser à nouveau. Enfin, bien qu'elles ne soient pas la première entreprise de cybersécurité à avoir été violée, leur réputation pourrait en souffrir, notamment parce qu'elles visent à aider d'autres organisations à se protéger des cyber-attaquants.

Les attaquants, en revanche, peuvent considérer cette sortie comme un succès: ils se sont emparés d'outils qu'ils peuvent utiliser lorsqu'ils ne veulent pas «brûler» les outils qu'ils ont eux-mêmes créés ou montrer qu'ils sont derrière une attaque, et ils pourraient avoir déterré des informations qui pourraient aider dans leurs efforts futurs.

Les cyber-défenseurs attendent désormais plus de détails sur la «nouvelle combinaison de techniques» utilisée dans l'attaque.