¿Cuál fue la respuesta de Fireeye al ciberataque sufrido?

FireEye comparte los detalles del ciberataque reciente para proteger a la comunidad

FireEye está en la primera línea de defensa de las empresas y la infraestructura crítica a nivel mundial de las amenazas cibernéticas. Somos testigos de la creciente amenaza de primera mano y sabemos que las ciber-amenazas siempre están evolucionando. Recientemente, fuimos atacados por un actor de amenazas altamente sofisticado, cuya disciplina, seguridad operativa y técnicas nos llevan a creer que fue un ataque patrocinado por un estado nación. Nuestra prioridad número uno es trabajar para fortalecer la seguridad de nuestros clientes y la comunidad en general. Esperamos que al compartir los detalles de nuestra investigación, toda la comunidad esté mejor equipada para combatir y derrotar los ataques cibernéticos.

Estamos presenciando un ataque de una nación con capacidades ofensivas de primer nivel. Este ataque es diferente a las decenas de miles de incidentes a los que hemos respondido a lo largo de los años. Los atacantes adaptaron sus capacidades de clase mundial específicamente para apuntar y atacar a FireEye. Están altamente capacitados en seguridad operacional y se ejecutan con disciplina y enfoque. Operaron clandestinamente, utilizando métodos que contrarrestan las herramientas de seguridad y e investigaciones forenses.

Estamos investigando activamente en coordinación con la Oficina Federal de Investigaciones y otros socios clave, incluyendo a Microsoft. Su análisis inicial respalda nuestra conclusión de que este fue el trabajo de un atacante patrocinado por un estado altamente sofisticado que utilizó técnicas novedosas.

Durante nuestra investigación hasta la fecha, hemos descubierto que el atacante apuntó y accedió a ciertas herramientas de evaluación de Red Team que usamos para comprobar la seguridad de nuestros clientes. Estas herramientas imitan el comportamiento de muchos actores de amenazas cibernéticas y permiten que FireEye brinde servicios de seguridad de diagnóstico esenciales a nuestros clientes. Ninguna de las herramientas contiene amenazas de día cero. De acuerdo con nuestro objetivo de proteger a la comunidad, estamos lanzando métodos y medios de manera proactiva para detectar el uso de nuestras herramientas de Red Team que fueron sustraídas.

No estamos seguros de si el atacante tiene la intención de utilizar nuestras herramientas de Red Team o divulgarlas públicamente. No obstante, por precaución, hemos desarrollado más de 300 contramedidas para que nuestros clientes y la comunidad en general las utilicen a fin de minimizar el impacto potencial del robo de estas herramientas.

Hasta la fecha, no hemos visto evidencia de que algún atacante haya utilizado las herramientas de Red Team que fueron sustraídas. Nosotros, así como otros en la comunidad de seguridad, continuaremos monitoreando cualquier actividad de este tipo. En este momento, queremos asegurarnos de que toda la comunidad de seguridad esté al tanto y protegida contra el intento de uso de estas herramientas de Red Team. Específicamente, esto es lo que estamos haciendo:

  • Hemos preparado contramedidas que pueden detectar o bloquear el uso de nuestras herramientas herramientas de Red Team que fueron sustraídas.
  • Hemos implementado contramedidas en nuestros productos de seguridad.
  • Compartimos estas contramedidas con nuestros colegas de la comunidad de seguridad para que puedan actualizar sus herramientas de seguridad.
  • Estamos poniendo las contramedidas a disposición del público en nuestro GitHub.
  • Continuaremos compartiendo y refinando cualquier mitigación adicional para las herramientas de Red Team a medida que estén disponibles, tanto pública como directamente con nuestros socios de seguridad.

De acuerdo con un esfuerzo de ciber-espionaje de un estado-nación, el atacante buscaba principalmente información relacionada con ciertos clientes del gobierno. Si bien el atacante pudo acceder a algunos de nuestros sistemas internos, en este punto de nuestra investigación, no hemos visto evidencia de que el atacante exfiltró datos de nuestros sistemas primarios que almacenan información del cliente de nuestra respuesta a incidentes o compromisos de consultoría, o los metadatos recopilados por nuestros productos en nuestros sistemas dinámicos de inteligencia de amenazas. Si descubrimos que se tomó la información del cliente, los contactaremos directamente.

Durante muchos años, hemos identificado, catalogado y divulgado públicamente las actividades de muchos grupos de amenazas persistentes avanzadas (APT), lo que permite a la comunidad de seguridad en general detectar y bloquear amenazas nuevas y emergentes.

A diario innovamos y nos adaptamos para proteger a nuestros clientes de los actores de amenazas que actúan fuera de los límites legales y éticos de la sociedad. Este caso no es diferente. Confiamos en la eficacia de nuestros productos y los procesos que utilizamos para perfeccionarlos. Hemos aprendido y seguimos aprendiendo más sobre nuestros adversarios como resultado de este ataque, y la comunidad de seguridad en general emergerá de este incidente mejor protegida.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio