Violação da FireEye: Detecção do Conjunto de Ferramentas de Equipe Vermelha Vazado

Esta semana, a comunidade de cibersegurança foi atingida pela notícia de que uma das principais empresas de segurança foi comprometida por um grupo APT sofisticado não identificado. Os adversários estavam interessados em ferramentas de Red Team usadas pela FireEye para testar a segurança de seus clientes e procuravam informações relacionadas a clientes governamentais. Uma investigação está em andamento e a Divisão de Cibersegurança do F.B.I. está envolvida. Embora nenhuma informação oficial sobre os supostos hackers tenha sido relatada, segundo The New York Times, os agentes do F.B.I. envolvidos são especializados em investigar questões relacionadas à Rússia, então não há dúvida sobre quem é o principal suspeito.

Será muito interessante conhecer os detalhes e resultados desta investigação, já que não é comum que hackers consigam comprometer organizações tão bem protegidas. Florian Roth postou em sua conta do Twitter: “A violação da FireEye não se trata realmente de ferramentas de red team ou dados de clientes. É sobre dados confidenciais possivelmente roubados sobre grupos de ameaças de alto perfil. Quero dizer, eles sabem mais sobre alguns atores do que a maioria dos aparelhos de inteligência dos estados.” E pode realmente ser assim. Tendo recebido dados de inteligência sobre outros grupos de ameaças, os hackers poderão não apenas disfarçar suas ações ou usar com eficácia ferramentas “de outras pessoas”, mas até mesmo “sequestrar” a infraestrutura de outra pessoa ou usá-la para suas campanhas.

A FireEye supõe que as ferramentas roubadas serão usadas em ciberataques, então compartilharam medidas de contramedida e IOCs em seu conta do GitHub. Regras Snort, Yara, ClamAV e HXIOC foram publicadas, e nossa equipe de conteúdo converteu as regras HXIOC convertíveis em formato Sigma para que possam ser traduzidas para as regras de múltiplas plataformas de segurança. Regras comunitárias para detectar possível abuso das ferramentas de Red Team da FireEye estão disponíveis no Threat Detection Marketplace.

Obrigado a Sittikorn Sangrattanapitak, Emir Erdogan, e Osman Demir, participantes ativos no Threat Bounty Program, que publicaram suas regras para detectar as ferramentas vazadas do Red Team .