edición general
173 meneos
718 clics

La firma de ciberseguridad FireEye informa de una brecha de seguridad y robo de herramientas de hackeo [Eng]

FireEye, una de las empresas de ciberseguridad más grandes de Estados Unidos, desveló que ha sido hackeada, posiblemente por un gobierno, lo que provocó el robo de un arsenal de herramientas de piratería interna reservadas para probar de forma privada las ciberdefensas de sus propios clientes. [+ info: www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-deta ]

| etiquetas: ciberseguridad , fireeye , hack , robo , kevin mandia , gobierno
Empresa que fue incubada por la CIA (In-Q-Tel)
#2 Vaya, ya decía yo que los del FBI habían sido muy rápidos comenzando su investigación :roll:

twitter.com/Bing_Chris/status/1336422997826154501/photo/1
Comentarios del CEO de FireEye, Kevin Mandia:

Based on my 25 years in cyber security and responding to incidents, I’ve concluded we are witnessing an attack by a nation with top-tier offensive capabilities. This attack is different from the tens of thousands of incidents we have responded to throughout the years. The attackers tailored their world-class capabilities specifically to target and attack FireEye. They are highly trained in operational security and executed with discipline and focus. They operated clandestinely, using methods that counter security tools and forensic examination. They used a novel combination of techniques not witnessed by us or our partners in the past

:tinfoil:
#1 #1 Traducción: un adolescente aburrido se ha metido hasta la cocina porque se han dejado alguna puerta abierta, pero no lo van a reconocer.
#4 no hombre, no. Dicen claramente que han usado técnicas nunca vistas que harían explotar nuestra mente y nos trasladarían a un extremo del universo si intentásemos comprenderlas.
Ante eso no se puede hacer nada.
#1 - ¿Te has dejado las llaves puestas cuando ibas al cajero?
- Sí, papá.
En casa de palo cuchara de herrero
También han publicado reglas para detectar las herramientas que les han robado: github.com/fireeye/red_team_tool_countermeasures

Leyéndolas tampoco he visto nada más allá de lo habitual en cualquier equipo rojo. Herramientas de escalación de privilegios, persistencia y ocultación, robo de credenciales y pivotaje principalmente.
#8 Claro, lo habitual, pero los APT y los probablemente zero-day que tendrían guardados para utilizarlos tendrán tela.. porque las reglas de yara/snort aparte de la firma poco dejan ver, solo que tenían un buen montón de bichos custom.

Los ultimos casos parecidos fueron el de HackingTeam o el de la NSA donde se filtro EternalBlue, y tuvimos APTs por ahí usados a lo loco para rato.
#10 Han dicho que no tenían ningún zero-day en lo robado, pero a saber.
#17 Si bueno, yo de entrada he buscado algunos hashes en VT y demás y ni rastro xD que si que serán cosas que todos conocemos obfuscadas.. o no, a saber.
#10 El propio blog menciona que no hay 0-days. Tiene bastante lógica, a un equipo rojo no le interesa desarrollar 0-days cuando hay exploits sin parchear en casi todas las empresas. Especialmente porque contra eso no hay mucha protección posible y eso no hay forma de venderlo (al fin y al cabo no son una entidad gubernamental, hay una empresa que les paga por atacarles y darles un informe de como mejorar).

Como mucho desarrollarían 0-days para sistemas propios de alguna empresa que sí que…   » ver todo el comentario
Tiene cojones la cosa....
Mr. Robot ha salido de HBO para hacerse realidad. Quien será nuestro Elliot???
Esto sí que da prestigio. Me recuerda a cuando hay robos de armas en cuarteles.
Les han hecho un “vuelco” digital.
Rusia fijo.
#7 Desde la ignorancia, ¿por qué la certeza? A priori yo descartaría Irán porque parecen normalmente enfrascados en WhatsApp y no recuerdo si Telegram, aparte de creo haber leído que las stores, en su intento por controlar a sus disidentes internos. ¿Pero por qué no China? No digo que los rusos no sean buenos, pero los chinos andan muy activos y "son muchos", ¿no? :-D
#7 China o The Best Corea andan también en las apuestas
Ya hay artículos donde se cita a Rusia (con casi completa certeza) y se hace hincapié en: Mandia believes the motive for the attack was espionage, particularly information around FireEye’s work with government agencies.
User: admin
Password: admin ;)
User: admin
Password: admin ;)
Y ya van dos..
Esta empresa va de mal en peor, hace años tenian una buena base tecnologica y ahora son una castaña pilonga con muy mala reputacion.
comentarios cerrados

menéame