La empresa de ciberseguridad FireEye ha sido hackeada y robadas las herramientas Pentest (red team) del equipo rojo. Seguramente fue hackeado por actores estatales, probablemente piratas informáticos patrocinados por el estado de Rusia. FireEye es una de las firmas de ciberseguridad Americana más destacadas, brinda productos y servicios a agencias gubernamentales y empresas de todo el mundo. Finalmente se ha hecho público cómo lo lograron: Troyanizado Orion, una herramienta de red de SolarWinds firmada con el cert válido el binario (firmado con el certificado digital).  Bautizado como "Sunburst" y por Microsoft como Solorigate.

• El gigante de la seguridad cibernética FireEye anunció que fue hackeado por actores estatales, probablemente piratas informáticos patrocinados por el estado ruso.
• La firma de ciberseguridad FireEye es una de las firmas de ciberseguridad más destacadas, brinda productos y servicios a agencias gubernamentales y empresas de todo el mundo.
• Este incidente es el mayor robo de herramientas de ciberseguridad desde que el grupo ShadowBrokers publicase herramientas de la NSA (National Security Agency) en 2016

FireEye, una de las firmas de ciberseguridad más grandes del mundo, dijo el martes que se convirtió en víctima de un ataque patrocinado por el estado por un "actor de amenazas altamente sofisticado" que robó su arsenal de herramientas de prueba de penetración del Red Team que utiliza para probar las defensas de sus clientes.

La compañía dijo que está investigando activamente la violación en coordinación con la Oficina Federal de Investigaciones (FBI) de EE. UU. Y otros socios clave, incluido Microsoft.

• FireEye Shares Details of Recent Cyber Attack, Actions to Protect Community

No identificó a un culpable específico que podría estar detrás de la violación o revelar cuándo tuvo lugar exactamente el ataque.

Sin embargo, The New York Times y The Washington Post informaron que el FBI entregó la investigación a sus especialistas rusos y que el ataque probablemente sea obra de APT29 (o Cozy Bear), piratas informáticos patrocinados por el estado afiliados al Servicio de Inteligencia Exterior SVR de Rusia. - citando fuentes no identificadas.

"Las compañías de seguridad son un objetivo primordial para los operadores de los estados-nación por muchas razones, pero no menos importante es la capacidad de obtener información valiosa sobre cómo eludir los controles de seguridad dentro de sus objetivos finales", dijo el cofundador de Crowdstrike, Dmitri Alperovitch.

“Basándome en mis 25 años en ciberseguridad y respondiendo a incidentes, he llegado a la conclusión de que estamos siendo testigos de un ataque de una nación con capacidades ofensivas de primer nivel. Este ataque es diferente a las decenas de miles de incidentes a los que hemos respondido a lo largo de los años. Los atacantes adaptaron sus capacidades de clase mundial específicamente para apuntar y atacar a FireEye ". escribió Kevin Mandia. “Están altamente capacitados en seguridad operacional y se ejecutan con disciplina y enfoque. Operaron clandestinamente, utilizando métodos que contrarrestan las herramientas de seguridad y el examen forense. Utilizaron una combinación novedosa de técnicas que no habíamos visto nosotros ni nuestros socios en el pasado ".

Mandia explicó que este es un ataque quirúrgico que exhibió "disciplina y enfoque". Google, Microsoft y otras empresas que realizan investigaciones de ciberseguridad declararon que nunca habían visto algunas de estas técnicas.

Herramientas Red Team

Al momento de escribir este artículo, las herramientas de piratería no se han explotado, ni contienen exploits de día cero, aunque los actores malintencionados en posesión de estas herramientas podrían abusar de ellas para subvertir las barreras de seguridad y tomar el control de los sistemas específicos.

Las organizaciones de ciberseguridad suelen utilizar las herramientas de Red Team para imitar las que se utilizan en los ataques del mundo real con el objetivo de evaluar las capacidades de detección y respuesta de una empresa y evaluar la postura de seguridad de los sistemas empresariales.

La compañía dijo que el adversario también accedió a algunos sistemas internos y buscó principalmente información sobre clientes del gobierno, pero agregó que no hay evidencia de que el atacante haya extraído información del cliente relacionada con la respuesta a incidentes o compromisos de consultoría o los metadatos recopilados por su software de seguridad.

"Este ataque es diferente de las decenas de miles de incidentes a los que hemos respondido a lo largo de los años", escribió el CEO de FireEye, Kevin Mandia, en una publicación de blog.

"Los atacantes adaptaron sus capacidades de clase mundial específicamente para apuntar y atacar FireEye. Están altamente capacitados en seguridad operativa y ejecutados con disciplina y enfoque. Operaron clandestinamente, utilizando métodos que contrarrestan las herramientas de seguridad y el examen forense. Utilizaron una combinación novedosa de técnicas no presenciadas por nosotros o nuestros socios en el pasado ".

Las herramientas de Red Team a las que se accede abarcan desde los scripts utilizados para automatizar el reconocimiento hasta marcos completos que son similares a las tecnologías disponibles públicamente, como CobaltStrike y Metasploit. Algunas otras son versiones modificadas de herramientas disponibles públicamente diseñadas para evadir los mecanismos básicos de detección de seguridad, mientras que el resto son utilidades de ataque patentadas desarrolladas internamente.

Kevin Mandia (CEO de FireEye) compartía a través de la web de la compañía californiana las acciones que se están tomando como respuesta ante la intrusión que ha permitido el robo de herramientas de Red Team empleadas por FireEye. Entre las acciones que se están llevando a cabo destacan: 

• Preparación de contramedidas para detectar o bloquear el uso de las herramientas de red team accedidas por los atacantes.
• Implementación de contramedidas en los productos de seguridad. 
• Implementación de contramedidas con el resto de la comunidad de seguridad. 
• Publicación de las contramedidas a través de un post que están manteniendo.  

Para minimizar el impacto potencial del robo de estas herramientas, la compañía también ha lanzado 300 contramedidas, incluida una lista de 16 fallas críticas previamente reveladas que deben abordarse para limitar la efectividad de las herramientas del Equipo Rojo.

• FireEye Red Team Tool Countermeasures (Reglas Snort,Yara,ClamAV,HXIOC)
• CVEs_red_team_tools.md

1. CVE-2019-11510 – pre-auth arbitrary file reading from Pulse Secure SSL VPNs - CVSS 10.0
2. CVE-2020-1472 – Microsoft Active Directory escalation of privileges - CVSS 10.0
3. CVE-2018-13379 – pre-auth arbitrary file reading from Fortinet Fortigate SSL VPN - CVSS 9.8
4. CVE-2018-15961 – RCE via Adobe ColdFusion (arbitrary file upload that can be used to upload a JSP web shell) - CVSS 9.8
5. CVE-2019-0604 – RCE for Microsoft Sharepoint - CVSS 9.8
6. CVE-2019-0708 – RCE of Windows Remote Desktop Services (RDS) - CVSS 9.8
7. CVE-2019-11580 - Atlassian Crowd Remote Code Execution - CVSS 9.8
8. CVE-2019-19781 – RCE of Citrix Application Delivery Controller and Citrix Gateway - CVSS 9.8
9. CVE-2020-10189 – RCE for ZoHo ManageEngine Desktop Central - CVSS 9.8
10. CVE-2014-1812 – Windows Local Privilege Escalation - CVSS 9.0
11. CVE-2019-3398 – Confluence Authenticated Remote Code Execution - CVSS 8.8
12. CVE-2020-0688 – Remote Command Execution in Microsoft Exchange - CVSS 8.8
13. CVE-2016-0167 – local privilege escalation on older versions of Microsoft Windows - CVSS 7.8
14. CVE-2017-11774 – RCE in Microsoft Outlook via crafted document execution (phishing) - CVSS 7.8
15. CVE-2018-8581 - Microsoft Exchange Server escalation of privileges - CVSS 7.4
16. CVE-2019-8394 – arbitrary pre-auth file upload to ZoHo ManageEngine ServiceDesk Plus - CVSS 6.5

En todo caso, el desarrollo es otro indicio de que ninguna empresa, contando las empresas de ciberseguridad, es inmune a los ataques dirigidos.

• Unauthorized Access of FireEye Red Team Tools

Las principales empresas de ciberseguridad como Kaspersky Lab, RSA Security, Avast y Bit9 han sido víctimas de ataques dañinos durante la última década.

El incidente también tiene leves similitudes con la filtración de herramientas de piratería ofensiva de The Shadow Brokers utilizadas por la Agencia de Seguridad Nacional de EE. UU. En 2016, que también incluyó el exploit de día cero EternalBlue que luego se utilizó como arma para distribuir el ransomware WannaCry.

Puerta trasera Orion de SolarWinds

Pero no solo se trataría de FireEye, también se habrían visto afectadas numerosas agencias gubernamentales de Estados Unidos, Europa, Asia y Medio Oriente, aunque el verdadero impacto de este ataque está por ver en los próximos días.

Los medios de comunicación The Washington Post y Routers afirman que existen muchas agencias gubernamentales afectadas, motivando que se reuniera de urgencia el Consejo de Seguridad Nacional de los Estados Unidos (NSC) en la Casa Blanca.

Actualmente cree que el número real de clientes que pueden haber tenido una instalación de los productos Orion que contenían esta vulnerabilidad es menos de 18.000.

El malware ha sido bautizado por FireEye como Sunburst en su informe, y por Microsoft como Solorigate y ya se encuentran disponibles reglas para su detección, que comienzan a aplicar los diferentes antivirus. Precisamente, FireEye ha publicado un conjunto de IOCs en su cuenta de Github. 

El desarrollo se produce un día después de que la firma de ciberseguridad FireEye dijera que identificó una campaña de intrusión global de nueve meses dirigida a entidades públicas y privadas que introducen código malicioso en actualizaciones de software legítimas para que el software Orion de SolarWinds ingrese a las redes de las empresas e instale una puerta trasera. llamado SUNBURST ("SolarWinds.Orion.Core.BusinessLayer.dll").

"El DLL malicioso llama a una infraestructura de red remota utilizando los dominios avsvmcloud.com. Para preparar posibles cargas útiles de segunda etapa, moverse lateralmente en la organización y comprometer o exfiltrar datos", dijo Microsoft en un escrito.

Fuentes:

https://thehackernews.com/2020/12/cybersecurity-firm-fireeye-got-hacked.html

https://unaaldia.hispasec.com/2020/12/respuesta-ejemplar-de-fireeye-tras-sufrir-un-ataque-que-expone-herramientas-de-red-team.html