Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
2020
(Total:
212
)
-
▼
diciembre
(Total:
46
)
- Lo más buscado en Google España en 2020
- Robo de datos de clientes de T-Mobile: expuestos n...
- Secuestro de Google Docs usando función capturar p...
- Kawasaki informa de un "acceso no autorizado" y un...
- Roban 615.000 credenciales de inicio de sesión med...
- Piratas informáticos rusos accedieron a las cuenta...
- Electrodomésticos Whirlpool afectado por un ataque...
- Encuentran una cuenta de usuario indocumentada en ...
- Cifrar un pendrive USB (proteger pendrive o disco ...
- Detectada una nueva campaña de phishing para Andro...
- El Papa Francisco da por segunda vez un "me gusta"...
- Configuración de una VPN con OpenVPN
- Norcoreanos intentan robar la investigación de la ...
- Encuentran nuevos fallos en el 5G que permiten geo...
- Utilizan la misma dirección IP para subir película...
- Zoom está siendo investigada por su seguridad, pri...
- Qubes OS, uno de los sistemas operativos más segur...
- Microsoft, Google, Cisco y otros presentan un escr...
- Los iPhones de 36 periodistas fueron espiados util...
- Ciberdelincuentes atacan cadenas de suministros de...
- Ransomware DoppelPaymer acosa a las víctimas que s...
- Ministros de la UE exigen cifrado en comunicacione...
- Filtran datos de ordenadores a través de la RAM co...
- Rusia estaría detrás del ataque (Orion de SolarWin...
- Hackean Sistema de marketing de Subway UK
- 115 mil alumnos sin clase por un ciberataque de ra...
- Exingeniero de Cisco condenado a prisión por elimi...
- Funciones avanzadas y opciones de seguridad en Wha...
- AIO 2021 - Compilación herramientas análisis y des...
- La Agencia Europea del Medicamento anuncia que ha ...
- Empresa de ciberseguridad FireEye sufre un hackeo ...
- Amnesia: 33 errores del protocolo TCP/IP
- Ejecución remota de código (RCE) en Microsoft Teams
- Kaspersky publica TinyCheck, herramienta capturar ...
- Arreglada vulnerabilidad crítica (RCE) en PlayStat...
- HDMI vs DisplayPort vs ThunderBolt
- Vulnerabilidad en librería Google Play Core expone...
- Actualizaciones de seguridad para VMWare (Windows-...
- Filtración de 243 millones de registros médicos en...
- Qualcomm anuncia el procesador Snapdragon 888
- Ataque del ransomware Conti a la empresa Advantech...
- Publican detalles exploit WiFi 'Wormable', que sin...
- Estafan, suplantando el e-mail del jefe, más de 9 ...
- Investigadores encuentran evidencia de espionaje t...
- Arrestan 3 estafadores nigerianos por atacar a mil...
- Raspberry Pi 4 Model B+ - Qué modelo comprar - Asu...
- ► septiembre (Total: 21 )
-
▼
diciembre
(Total:
46
)
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Empresa de ciberseguridad FireEye sufre un hackeo por parte de Rusos
La empresa de ciberseguridad FireEye ha sido hackeada y robadas las herramientas Pentest (red team) del equipo rojo. Seguramente fue hackeado por actores estatales, probablemente piratas informáticos patrocinados por el estado de Rusia. FireEye es una de las firmas de ciberseguridad Americana más destacadas, brinda productos y servicios a agencias gubernamentales y empresas de todo el mundo. Finalmente se ha hecho público cómo lo lograron: Troyanizado Orion, una herramienta de red de SolarWinds firmada con el cert válido el binario (firmado con el certificado digital). Bautizado como "Sunburst" y por Microsoft como Solorigate.
- El gigante de la seguridad cibernética FireEye anunció que fue hackeado por actores estatales, probablemente piratas informáticos patrocinados por el estado ruso.
- La firma de ciberseguridad FireEye es una de las firmas de ciberseguridad más destacadas, brinda productos y servicios a agencias gubernamentales y empresas de todo el mundo.
- Este incidente es el mayor robo de herramientas de ciberseguridad desde que el grupo ShadowBrokers publicase herramientas de la NSA (National Security Agency) en 2016
FireEye, una de las firmas de ciberseguridad más grandes del mundo, dijo el martes que se convirtió en víctima de un ataque patrocinado por el estado por un "actor de amenazas altamente sofisticado" que robó su arsenal de herramientas de prueba de penetración del Red Team que utiliza para probar las defensas de sus clientes.
La compañía dijo que está investigando activamente la violación en coordinación con la Oficina Federal de Investigaciones (FBI) de EE. UU. Y otros socios clave, incluido Microsoft.
No identificó a un culpable específico que podría estar detrás de la violación o revelar cuándo tuvo lugar exactamente el ataque.
Sin embargo, The New York Times y The Washington Post informaron que el FBI entregó la investigación a sus especialistas rusos y que el ataque probablemente sea obra de APT29 (o Cozy Bear), piratas informáticos patrocinados por el estado afiliados al Servicio de Inteligencia Exterior SVR de Rusia. - citando fuentes no identificadas.
"Las compañías de seguridad son un objetivo primordial para los operadores de los estados-nación por muchas razones, pero no menos importante es la capacidad de obtener información valiosa sobre cómo eludir los controles de seguridad dentro de sus objetivos finales", dijo el cofundador de Crowdstrike, Dmitri Alperovitch.
“Basándome en mis 25 años en ciberseguridad y respondiendo a incidentes, he llegado a la conclusión de que estamos siendo testigos de un ataque de una nación con capacidades ofensivas de primer nivel. Este ataque es diferente a las decenas de miles de incidentes a los que hemos respondido a lo largo de los años. Los atacantes adaptaron sus capacidades de clase mundial específicamente para apuntar y atacar a FireEye ". escribió Kevin Mandia. “Están altamente capacitados en seguridad operacional y se ejecutan con disciplina y enfoque. Operaron clandestinamente, utilizando métodos que contrarrestan las herramientas de seguridad y el examen forense. Utilizaron una combinación novedosa de técnicas que no habíamos visto nosotros ni nuestros socios en el pasado ".
Mandia explicó que este es un ataque quirúrgico que exhibió "disciplina y enfoque". Google, Microsoft y otras empresas que realizan investigaciones de ciberseguridad declararon que nunca habían visto algunas de estas técnicas.
Herramientas Red Team
Al momento de escribir este artículo, las herramientas de piratería no se han explotado, ni contienen exploits de día cero, aunque los actores malintencionados en posesión de estas herramientas podrían abusar de ellas para subvertir las barreras de seguridad y tomar el control de los sistemas específicos.
Las organizaciones de ciberseguridad suelen utilizar las herramientas de Red Team para imitar las que se utilizan en los ataques del mundo real con el objetivo de evaluar las capacidades de detección y respuesta de una empresa y evaluar la postura de seguridad de los sistemas empresariales.
La compañía dijo que el adversario también accedió a algunos sistemas internos y buscó principalmente información sobre clientes del gobierno, pero agregó que no hay evidencia de que el atacante haya extraído información del cliente relacionada con la respuesta a incidentes o compromisos de consultoría o los metadatos recopilados por su software de seguridad.
"Este ataque es diferente de las decenas de miles de incidentes a los que hemos respondido a lo largo de los años", escribió el CEO de FireEye, Kevin Mandia, en una publicación de blog.
"Los atacantes adaptaron sus capacidades de clase mundial específicamente para apuntar y atacar FireEye. Están altamente capacitados en seguridad operativa y ejecutados con disciplina y enfoque. Operaron clandestinamente, utilizando métodos que contrarrestan las herramientas de seguridad y el examen forense. Utilizaron una combinación novedosa de técnicas no presenciadas por nosotros o nuestros socios en el pasado ".
Las herramientas de Red Team a las que se accede abarcan desde los scripts utilizados para automatizar el reconocimiento hasta marcos completos que son similares a las tecnologías disponibles públicamente, como CobaltStrike y Metasploit. Algunas otras son versiones modificadas de herramientas disponibles públicamente diseñadas para evadir los mecanismos básicos de detección de seguridad, mientras que el resto son utilidades de ataque patentadas desarrolladas internamente.
Kevin Mandia (CEO de FireEye) compartía a través de la web de la compañía californiana las acciones que se están tomando como respuesta ante la intrusión que ha permitido el robo de herramientas de Red Team empleadas por FireEye. Entre las acciones que se están llevando a cabo destacan:
- Preparación de contramedidas para detectar o bloquear el uso de las herramientas de red team accedidas por los atacantes.
- Implementación de contramedidas en los productos de seguridad.
- Implementación de contramedidas con el resto de la comunidad de seguridad.
- Publicación de las contramedidas a través de un post que están manteniendo.
Para minimizar el impacto potencial del robo de estas herramientas, la compañía también ha lanzado 300 contramedidas, incluida una lista de 16 fallas críticas previamente reveladas que deben abordarse para limitar la efectividad de las herramientas del Equipo Rojo.
- FireEye Red Team Tool Countermeasures (Reglas Snort,Yara,ClamAV,HXIOC)
- CVEs_red_team_tools.md
- CVE-2019-11510 – pre-auth arbitrary file reading from Pulse Secure SSL VPNs - CVSS 10.0
- CVE-2020-1472 – Microsoft Active Directory escalation of privileges - CVSS 10.0
- CVE-2018-13379 – pre-auth arbitrary file reading from Fortinet Fortigate SSL VPN - CVSS 9.8
- CVE-2018-15961 – RCE via Adobe ColdFusion (arbitrary file upload that can be used to upload a JSP web shell) - CVSS 9.8
- CVE-2019-0604 – RCE for Microsoft Sharepoint - CVSS 9.8
- CVE-2019-0708 – RCE of Windows Remote Desktop Services (RDS) - CVSS 9.8
- CVE-2019-11580 - Atlassian Crowd Remote Code Execution - CVSS 9.8
- CVE-2019-19781 – RCE of Citrix Application Delivery Controller and Citrix Gateway - CVSS 9.8
- CVE-2020-10189 – RCE for ZoHo ManageEngine Desktop Central - CVSS 9.8
- CVE-2014-1812 – Windows Local Privilege Escalation - CVSS 9.0
- CVE-2019-3398 – Confluence Authenticated Remote Code Execution - CVSS 8.8
- CVE-2020-0688 – Remote Command Execution in Microsoft Exchange - CVSS 8.8
- CVE-2016-0167 – local privilege escalation on older versions of Microsoft Windows - CVSS 7.8
- CVE-2017-11774 – RCE in Microsoft Outlook via crafted document execution (phishing) - CVSS 7.8
- CVE-2018-8581 - Microsoft Exchange Server escalation of privileges - CVSS 7.4
- CVE-2019-8394 – arbitrary pre-auth file upload to ZoHo ManageEngine ServiceDesk Plus - CVSS 6.5
En todo caso, el desarrollo es otro indicio de que ninguna empresa, contando las empresas de ciberseguridad, es inmune a los ataques dirigidos.
Las principales empresas de ciberseguridad como Kaspersky Lab, RSA Security, Avast y Bit9 han sido víctimas de ataques dañinos durante la última década.
El incidente también tiene leves similitudes con la filtración de herramientas de piratería ofensiva de The Shadow Brokers utilizadas por la Agencia de Seguridad Nacional de EE. UU. En 2016, que también incluyó el exploit de día cero EternalBlue que luego se utilizó como arma para distribuir el ransomware WannaCry.
Puerta trasera Orion de SolarWinds
Pero no solo se trataría de FireEye, también se habrían visto afectadas numerosas agencias gubernamentales de Estados Unidos, Europa, Asia y Medio Oriente, aunque el verdadero impacto de este ataque está por ver en los próximos días.
Los medios de comunicación The Washington Post y Routers afirman que existen muchas agencias gubernamentales afectadas, motivando que se reuniera de urgencia el Consejo de Seguridad Nacional de los Estados Unidos (NSC) en la Casa Blanca.
Actualmente cree que el número real de clientes que pueden haber tenido una instalación de los productos Orion que contenían esta vulnerabilidad es menos de 18.000.
El malware ha sido bautizado por FireEye como Sunburst en su informe, y por Microsoft como Solorigate y ya se encuentran disponibles reglas para su detección, que comienzan a aplicar los diferentes antivirus. Precisamente, FireEye ha publicado un conjunto de IOCs en su cuenta de Github.
El desarrollo se produce un día después de que la firma de ciberseguridad FireEye dijera que identificó una campaña de intrusión global de nueve meses dirigida a entidades públicas y privadas que introducen código malicioso en actualizaciones de software legítimas para que el software Orion de SolarWinds ingrese a las redes de las empresas e instale una puerta trasera. llamado SUNBURST ("SolarWinds.Orion.Core.BusinessLayer.dll").
"El DLL malicioso llama a una infraestructura de red remota utilizando los dominios avsvmcloud.com. Para preparar posibles cargas útiles de segunda etapa, moverse lateralmente en la organización y comprometer o exfiltrar datos", dijo Microsoft en un escrito.
Fuentes:
https://thehackernews.com/2020/12/cybersecurity-firm-fireeye-got-hacked.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.