Questa settimana la comunità della cybersecurity è stata colpita dalla notizia che una delle principali società di sicurezza è stata compromessa da un gruppo APT sofisticato e anonimo. Gli avversari erano interessati agli strumenti Red Team utilizzati da FireEye per testare la sicurezza dei loro clienti e cercavano informazioni correlate ai clienti governativi. Un’indagine è in corso e la Cyber Division dell’F.B.I. è coinvolta. Sebbene non siano state riportate informazioni ufficiali sugli hacker sospettati, secondo The New York Times, gli agenti dell’F.B.I. coinvolti sono specializzati nell’indagine di questioni legate alla Russia, quindi non c’è dubbio su chi sia il principale sospettato.
Sarà molto interessante conoscere i dettagli e i risultati di questa indagine poiché non è comune che gli hacker riescano a compromettere organizzazioni così ben protette. Florian Roth ha pubblicato nel suo account Twitter: “La breccia di FireEye non riguarda realmente gli strumenti del red team o i dati dei clienti. Si tratta di dati riservati, potenzialmente rubati, su gruppi di minacce di alto profilo. Voglio dire, sanno più su alcuni attori che la maggior parte degli apparati di intelligence degli stati.” E potrebbe realmente essere così. Ricevendo dati di intelligence su altri gruppi di minacce, gli hacker saranno in grado non solo di camuffare le loro azioni o utilizzare efficacemente gli strumenti “di altri”, ma anche di “dirottare” l’infrastruttura di qualcun altro o usarla per le loro campagne.
FireEye suppone che gli strumenti rubati saranno utilizzati in attacchi informatici, quindi hanno condiviso contromisure e IOC sul loro account GitHub. Le regole Snort, Yara, ClamAV e HXIOC sono state pubblicate, e il nostro team di contenuti ha convertito le regole HXIOC convertibili nel formato Sigma in modo che possano essere tradotte in regole per più piattaforme di sicurezza. Le regole della comunità per rilevare il possibile abuso degli strumenti del Red Team di FireEye sono disponibili su Threat Detection Marketplace.
Grazie a Sittikorn Sangrattanapitak, Emir Erdogan, e Osman Demir, partecipanti attivi nel Threat Bounty Program, che hanno pubblicato le loro regole per rilevare gli strumenti del Red Team trapelati.
|
Metodologia di abuso di errore di servizio (via registry_event) |
|
|
|
|
|
Dump di memoria TitoSpecial (rubainformazioni) (via file_event) |
|
|
|
|
|
Strumento del Red Team di FireEye – Esecuzione sospetta di MSBUILDME userinit.exe |
|
|
|
|
Strumento del Red Team di FireEye – G2JS Process Tree sospetto |
|
|
Strumento del Red Team di FireEye – Esecuzione sospetta di G2JS colorcpl.exe |
|
|
Strumento del Red Team di FireEye – Impacket WMIEXEC modificato (via cmdline) |
|
Possibile utility IMPACKET-OBFUSCATION WMIEXEC o SMBEXEC (via cmdline) |
|
Possibile dirottamento packageIdentification.dll (via imageload) |
|
Strumento del Red Team di Fireeye – execavator.exe (via registry) |
|
Possibile dirottamento chrome_frame_helper.dll (via imageload) |
|
Possibile dirottamento api-ms-win-downloevel-shell32-l1-1-.dll (via imageload) |
|
Possibile dirottamento anything.cpl o anything.dll (via imageload) |
|
Strumento del Red Team di FireEye – Impacket SMBEXEC modificato (via registry) |
|
Strumento del Red Team di FireEye – Impacket SMBEXEC modificato (via cmdline) |
|
Strumento del Red Team di Fireeye – execavator.exe (via cmdline) |
|
Strumento del Red Team di FireEye – ADPASSHunt (via cmdline) |
