FireEye, een van de grootste en meest prestigieuze cybersecuritybedrijven in de Verenigde Staten, is het slachtoffer geworden van een hackaanval. De dader, vermoedelijk een “zeer geavanceerde statelijke actor”, heeft hacktools gestolen die het bedrijf gebruikt om veiligheid en weerbaarheid van klanten te testen. De organisatie heeft “honderden tegenmaatregelen” genomen om de internationale bedrijfsleven en gemeenschap te beschermen tegen deze tools.
Dat schrijft FireEye (tegenwoordig Mandiant) in een blog.
Dit moet je weten over FireEye
FireEye is een van de grootste en bekendste bedrijven ter wereld dat zich bezighoudt met cybersecurity en informatiebeveiliging. Afgelopen jaar genereerde het bedrijf een omzet van 889 miljoen dollar en bracht het brood op de plank bij ongeveer 3.400 medewerkers. Het testen van de beveiliging van bedrijfs- en overheidsnetwerken -ook wel penetratietests of pentests genoemd- is één van de activiteiten waar FireEye zich mee bezighoudt. Daarbij speuren ze naar technische kwetsbaarheden in de software en computernetwerken van organisaties om informatiesystemen binnen te dringen.
De tools die FireEye gebruikt om computersystemen te penetreren, zijn ontwikkeld door het zogenoemde Red Team. Dit is een groep van beveiligingsspecialisten die zich voordoen als hackers om levensechte scenario’s na te bootsen die hackers in praktijk gebruiken. Tegenover het Red Team staat het Blue Team. De leden van dit team doen er alles aan om zich te verdedigen tegen de hackaanvallen van het Red Team.
Door scripts en andere tools te gebruiken, probeert het Red Team om kwetsbaarheden en risico’s bloot te leggen. Opdrachtgevers kunnen met deze informatie hun beveiligingsmaatregelen opschroeven om zich beter te wapenen tegen kwaadwillende hackers, en kennis opdoen over hoe zij toekomstige cyberaanvallen kunnen afslaan.
Dit hebben de hackers buitgemaakt
Het Red Team doet al meer dan 15 jaar zijn werk. In die tijd hebben de medewerkers allerlei scripts, scanners, technieken en tools ontwikkeld om cyberaanvallen na te bootsen. Deze hulpmiddelen zijn echter gestolen door hackers. Het gaat om eenvoudige scripts die gebruikt kunnen worden om de verkenningsfase van een cyberaanval te automatiseren, maar ook complete frameworks die vergelijkbaar zijn met publiekelijk toegankelijke pentesttechnologieën als CobaltStrike en Metasploit.
FireEye zegt niet te weten wat ze met deze tools willen. Mogelijk willen ze deze gebruiken om zelf cyberaanvallen uit te voeren. Een andere optie is dat ze deze tools openbaar willen maken door ze met de rest van de wereld te delen. Het cybersecuritybedrijf heeft naar eigen zeggen “honderden tegenmaatregelen” genomen om de security community te beschermen tegen deze tools. Deze zijn te vinden in de FireEye GitHub repository. Deze lijst wordt in de toekomst verder uitgebreid.
‘Russen mogelijk verantwoordelijk voor diefstal’
Om iedereen gerust te stellen, stelt FireEye dat de tools geen zero-day exploits bevatten. Dat zijn beveiligingslekken in software die vanaf het allereerste begin al bestaan, nog niet zijn gedicht door de ontwikkelaars en niet publiekelijk bekend zijn. Het beveiligingsbedrijf schrijft in zijn blog dat er geen aanwijzingen zijn dat de gestolen tools zijn misbruikt om cyberaanvallen uit te voeren. Toch zegt het bedrijf er alles aan te doen om ervoor te zorgen dat dit ook niet gebeurt. Daarvoor doet de organisatie een beroep op alle partners waar ze mee samenwerkt.
Wie er verantwoordelijk is voor de diefstal durft FireEye niet te zeggen. Het enige dat het bedrijf hierover kwijt wil is dat de aanval is uitgevoerd door een “zeer geavanceerde statelijke actor”. Volgens The New York Times en The Wall Street Journal zijn er aanwijzingen dat Russische inlichtingendiensten achter de aanval zitten. Het bedrijf heeft zowel Microsoft als de FBI ingeschakeld om de oorsprong van het incident te onderzoeken.
