FireEye, una de las principales empresas de ciberseguridad, hackeada por un Estado-nación

Escrito por Jose Rivera

8 diciembre, 2020

FireEye russian hackers attack

La compañía de Silicon Valley dijo que los hackers (posiblemente rusos) los comprometieron con herramientas que podrían ser utilizadas para montar nuevos ataques en todo el mundo.Los clientes de FireEye después de grandes brechas han incluido a Sony y Equifax. Los hackers rusos apuntaron a sus herramientas de «Equipo Rojo»

FireEye’s clients after huge breaches have included Sony and Equifax. Hackers targeted its “Red Team” tools.
Los clientes de FireEye después de grandes brechas han incluido a Sony y Equifax. Los hackers apuntaron a sus herramientas de «Equipo Rojo». Crédito a David Becker/Reuters

WASHINGTON – Durante años, la firma de ciberseguridad FireEye ha sido la primera llamada para las agencias gubernamentales y empresas de todo el mundo que han sido hackeadas por los atacantes más sofisticados, o temen ser.

Ahora parece que los piratas informáticos — en este caso, la evidencia apunta a las agencias de inteligencia de Rusia — pueden estar exigiendo su venganza.

FireEye reveló el martes que sus propios sistemas fueron perforados por lo que llamó «una nación con capacidades ofensivas de primer nivel». La compañía dijo que los hackers utilizaron «técnicas novedosas» para hacer con su propio kit de herramientas, que podría ser útil en el montaje de nuevos ataques en todo el mundo.

Fue un robo impresionante, parecido a los ladrones de bancos que, después de haber limpiado las bóvedas locales, luego se dieron la vuelta y robaron las herramientas de investigación del F.B.I. De hecho, FireEye dijo el martes, momentos después del cierre del mercado de valores, que había llamado en el F.B.I.

La compañía de 3.500 millones de dólares, que en parte se gana la vida identificando a los culpables en algunas de las brechas más audaces del mundo —sus clientes han incluido a Sony, Equifax y Garmin— se negó a decir explícitamente quién fue el responsable. Pero su descripción, y el hecho de que el F.B.I. haya entregado el caso a sus especialistas en Rusia, dejó pocas dudas de quiénes eran los principales sospechosos y que estaban después de lo que la compañía llama «herramientas del equipo rojo».

Estas son esencialmente herramientas digitales que replican las herramientas de hacking más sofisticadas del mundo. FireEye utiliza las herramientas, con el permiso de una empresa cliente o una agencia gubernamental, para buscar vulnerabilidades en sus sistemas. La mayoría de las herramientas se basan en una bóveda digital que FireEye protege de cerca.

El hack plantea la posibilidad de que las agencias de inteligencia rusas vieran una ventaja en el montaje del ataque, mientras que la atención estadounidense, incluida la de FireEye, se centró en asegurar el sistema de elecciones presidenciales. En un momento en que los sistemas de inteligencia públicos y privados de la nación estaban buscando violaciones de los sistemas de registro de votantes o máquinas de votación, puede haber sido un buen momento para que esas agencias rusas, que estaban involucradas en las violaciones electorales de 2016, cambiaran su mirada a otros objetivos.El hack fue el mayor robo conocido de herramientas de ciberseguridad desde que los de la Agencia de Seguridad Nacional fueron purgados en 2016 por un grupo aún no identificado que se hace llamar los ShadowBrokers. Ese grupo dejó las herramientas de hacking de la N.S.A. en línea durante varios meses, entregando estados-nación y hackers las «claves del reino digital», como dijo un ex operador de la N.S.A. Corea del Norte y Rusia finalmente utilizaron el armamento robado de la N.S.A. en ataques destructivos contra agencias gubernamentales, hospitales y los mayores conglomerados del mundo, a un costo de más de 10.000 millones de dólares.

Lea esta noticia similar  SS7: Hackeo de cuentas de Whatsapp y Telegram, cómo protegerse (video)

Las herramientas de la N.S.A. probablemente fueron más útiles que las de FireEye desde que el gobierno de EE. UU. construye armas digitales hechas específicamente. Las herramientas red team de FireEye están esencialmente construidas a partir de malware que la compañía ha visto utilizado en una amplia gama de ataques.

Aun así, la ventaja de usar armas robadas es que los estados-nación pueden ocultar sus propias huellas cuando lanzan ataques.

«Los hackers podrían aprovechar las herramientas de FireEye para hackear objetivos arriesgados y de alto perfil con negabilidad plausible», dijo Patrick Wardle, un ex hacker de la N.S.A. que ahora es un investigador principal de seguridad en Jamf, una compañía de software. «En entornos riesgosos, no desea quemar sus mejores herramientas, por lo que esto proporciona a los adversarios avanzados una manera de usar las herramientas de otra persona sin quemar sus mejores capacidades».

Un grupo de hacking patrocinado por el estado chino fue capturado previamente usando las herramientas de hacking de la N.S.A. en ataques en todo el mundo, ostensiblemente después de descubrir las herramientas de la N.S.A. en sus propios sistemas. «Es como una no-cerebro», dijo el Sr. Wardle.Es probable que la brecha sea un ojo morado para FireEye. Sus investigadores trabajaron con Sony después del devastador ataque de 2014 que la firma más tarde atribuyó a Corea del Norte. Fue FireEye que fue llamado después de que el Departamento de Estado y otras agencias gubernamentales estadounidenses fueron violados por hackers rusos en 2015. Y sus principales clientes corporativos incluyen Equifax,el servicio de monitoreo de crédito que fue hackeado hace tres años, afectando a casi la mitad de la población estadounidense.

Lea esta noticia similar  Phishing: Análisis Forense de Correos Electrónicos

En el ataque FireEye, los piratas informáticos hicieron esfuerzos extraordinarios para evitar ser vistos. Crearon varios miles de direcciones de protocolo de Internet, muchas dentro de los Estados Unidos, que nunca antes se habían utilizado en ataques. Mediante el uso de esas direcciones para escenificar su ataque, permitió a los piratas informáticos para ocultar mejor su paradero.

«Este ataque es diferente de las decenas de miles de incidentes a los que hemos respondido a lo largo de los años», dijo Kevin Mandia, director ejecutivo de FireEye. (Fue el fundador de Mandiant, una firma que FireEye adquirió en 2014.)

Pero FireEye dijo que todavía estaba investigando exactamente cómo los piratas informáticos habían violado sus sistemas más protegidos. Los detalles eran escasos.

El Sr. Mandia, un ex oficial de inteligencia de la Fuerza Aérea, dijo que los atacantes «adaptaron sus capacidades de clase mundial específicamente para atacar y atacar FireEye». Dijo que parecían estar altamente capacitados en «seguridad operacional» y exhibió «disciplina y enfoque», mientras se movían clandestinamente para escapar de la detección de herramientas de seguridad y examen forense. Google, Microsoft y otras empresas que llevan a cabo investigaciones de ciberseguridad dijeron que nunca habían visto algunas de estas técnicas.

FireEye también publicó elementos clave de sus herramientas «Red Team» para que otros en todo el mundo vieran venir ataques.

Los investigadores estadounidenses están tratando de determinar si el ataque tiene alguna relación con otra operación sofisticada que la N.S.A. dijo que Rusia estaba retrasada en una advertencia emitida el lunes. Esto se mete en un tipo de software, llamado VM para máquinas virtuales, que es ampliamente utilizado por las empresas de defensa y los fabricantes. La 18-S. se negó a decir cuáles eran los objetivos de ese ataque. No está claro si los rusos utilizaron su éxito en esa brecha para entrar en los sistemas de FireEye.El ataque a FireEye podría ser una especie de represalia. Los investigadores de la compañía han llamado repetidamente unidades de la inteligencia militar rusa —el G.R.U., el S.V.R. y el F.S.B., la agencia sucesora de la era soviética K.G.B. para hacks de alto perfil en la red eléctrica en Ucrania y en los municipios estadounidenses. También fueron los primeros en llamar a los hackers rusos detrás de un ataque que desmanteló con éxito las cerraduras de seguridad industrial en una planta petroquímica saudita, el último paso antes de desencadenar una explosión.

Lea esta noticia similar  Guia de respuesta a incidentes en sistemas Linux

«Los rusos creen en la venganza», dijo James A. Lewis, un experto en ciberseguridad del Centro de Estudios Estratégicos e Internacionales en Washington. «De repente, los clientes de FireEye son vulnerables».

El martes, la Asociación Nacional de Seguridad De la Información Internacional de Rusia celebró un foro con expertos en seguridad global en el que funcionarios rusos volvieron a afirmar que no había pruebas de que sus hackers fueran responsables de ataques que han dado lugar a sanciones y acusaciones estadounidenses.

Las empresas de seguridad han sido un objetivo frecuente para los estados-nación y los hackers, en parte porque sus herramientas mantienen un profundo nivel de acceso a clientes corporativos y gubernamentales en todo el mundo. Al hackear esas herramientas y robar código fuente, espías y hackers pueden ganar un punto de apoyo a los sistemas de las víctimas.

McAfee, Symantec y Trend Micro estaban entre la lista de las principales empresas de seguridad cuyo código un grupo de hackers de habla rusa afirmó haber robado el año pasado. Kaspersky, la empresa de seguridad rusa, fue hackeada por hackers israelíes en 2017. Y en 2012, Symantec confirmó que un segmento de su código fuente antivirus fue robado por los piratas informáticos.

Fuente: TheNewYorkTimes

Escrito por Jose Rivera

Vea otras noticias interesantes:

Síganos en nuestras redes sociales

Le compartiremos contenido valicioso para que se mantenga actualizado en el campo

Nuestros cursos

CYBER401 Q2-2024 – Analista de Ciberseguridad

¡Oferta!

Conozca sobre nuestro curso de analista en Ciberseguridad y adéntrese en el mundo de los delitos informáticos y como proteger a las empresas ente los ataques

0 Comentarios

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *