Een zeer geavanceerde door de staat gesponsorde hacker(s) heeft 'FireEye Red Team-tools' gestolen.

"Omdat we van mening zijn dat een tegenstander over deze tools beschikt en we niet weten of de aanvaller van plan is de gestolen tools zelf te gebruiken of openbaar te maken, brengt FireEye honderden tegenmaatregelen uit met deze blogpost om de bredere beveiligingsgemeenschap in staat te stellen zichzelf te beschermen tegen deze tools. We hebben de tegenmaatregelen opgenomen in onze FireEye-producten - en deze tegenmaatregelen gedeeld met partners, overheidsinstanties - om het vermogen van de slechterik om de Red Team-tools te exploiteren aanzienlijk te beperken", aldus FireEye.

U kunt een lijst met de tegenmaatregelen in de FireEye GitHub-repository HIER vinden.

Red Team Tools en technieken

Een Red Team is een groep van beveiligingsprofessionals die gemachtigd en georganiseerd zijn om de aanvals- of exploitatiemogelijkheden van een potentiële tegenstander tegen de beveiligingsstatus van een onderneming na te bootsen. Het doel van ons Red Team is om de cyberbeveiliging van ondernemingen te verbeteren door de impact van succesvolle aanvallen aan te tonen en door de verdedigers (dwz het Blue Team) te laten zien hoe ze deze in een operationele omgeving kunnen bestrijden. "We voeren al meer dan 15 jaar Red Team-assessments uit voor klanten over de hele wereld. In die tijd hebben we een reeks scripts, tools, scanners en technieken ontwikkeld om de beveiligingshouding van onze klanten te verbeteren. Helaas zijn deze tools gestolen door een zeer geavanceerde aanvaller." aldus FireEyr

De gestolen tools variëren van eenvoudige scripts die worden gebruikt voor het automatiseren van verkenning tot volledige frameworks die vergelijkbaar zijn met openbaar beschikbare technologieën zoals 'CobaltStrike' en 'Metasploit'. Veel van de Red Team-tools zijn al vrijgegeven voor de gemeenschap en worden al gedistribueerd in onze open-source virtuele machine, CommandoVM .

Sommige tools zijn openbaar beschikbare tools die zijn aangepast om elementaire beveiligingsdetectiemechanismen te omzeilen. Andere tools en frameworks werden in eigen huis ontwikkeld voor ons Red Team.

Geen Zero-Day Exploits of onbekende technieken

De door de aanvaller gestolen tools van het Red Team bevatten geen zero-day exploits. De tools passen bekende en gedocumenteerde methoden toe die worden gebruikt door andere rode teams over de hele wereld. Hoewel we niet geloven dat deze diefstal de algehele mogelijkheden van de aanvaller aanzienlijk zal verbeteren, doet FireEye er alles aan om een ​​dergelijk scenario te voorkomen. 

Het is belangrijk om op te merken dat FireEye deze tools niet heeft verspreid of gebruikt voor tegenstanders en we zullen samen met onze beveiligingspartners blijven controleren op dergelijke activiteiten.

Detecties om de gemeenschap te helpen

Om de gemeenschap in staat te stellen deze tools te detecteren, publiceren we tegenmaatregelen om organisaties te helpen deze tools te identificeren. Als reactie op de diefstal van onze Red Team-tools hebben we honderden tegenmaatregelen gelanceerd voor openbaar beschikbare technologieën zoals 'OpenIOC', 'Yara', 'Snort' en 'ClamAV'.

"Een lijst met de tegenmaatregel is beschikbaar in de FireEye GitHub-repository die hier te vinden is . We geven detecties vrij en zullen de openbare repository blijven updaten met overlappende tegenmaatregelen voor host-, netwerk- en bestandsgebaseerde indicatoren terwijl we nieuwe detecties ontwikkelen of bestaande detecties verfijnen. Daarnaast publiceren we een lijst met CVE's die moeten worden aangepakt om de effectiviteit van de Red Team-tools op de GitHub-pagina te beperken." aldus FireEye

FireEye-producten beschermen klanten tegen deze tools

Teams bij FireEye hebben gewerkt aan het opzetten van tegenmaatregelen om onze klanten en de bredere gemeenschap te beschermen. "We hebben deze tegenmaatregelen in onze producten verwerkt en deze tegenmaatregelen gedeeld met onze partners, waaronder het Department of Homeland Security, die de tegenmaatregelen in hun producten hebben opgenomen om een ​​brede dekking voor de gemeenschap te bieden."

Meer informatie over de beschikbare detectiehandtekeningen is te vinden in de GitHub-repository .

Zeer geraffineerde technieken

Hoe de tools konden worden gestolen laat 'FireEye' niet weten. Het bedrijf spreekt van een "zeer geraffineerde" door een staat gesponsorde aanvaller die een combinatie van nog nooit eerder vertoonde technieken gebruikte, maar details worden verder niet gegeven.