martes, 8 de diciembre de 2020

FireEye comparte detalles de un ciberataque reciente y acciones para proteger a la comunidad


FireEye está a la vanguardia en la defensa de las empresas y la infraestructura crítica a nivel mundial de las amenazas cibernéticas. Somos testigos de la creciente amenaza de primera mano y sabemos que las ciberamenazas siempre están evolucionando. Recientemente, fuimos atacados por un actor de amenazas altamente sofisticado, cuya disciplina, seguridad operativa y técnicas nos llevan a creer que fue un ataque patrocinado por el estado. Nuestra prioridad número uno es trabajar para fortalecer la seguridad de nuestros clientes y la comunidad en general. Esperamos que al compartir los detalles de nuestra investigación, toda la comunidad esté mejor equipada para combatir y derrotar los ataques cibernéticos.

Basándome en mis 25 años en seguridad cibernética y respondiendo a incidentes, he llegado a la conclusión de que estamos presenciando un ataque de una nación con capacidades ofensivas de primer nivel. Este ataque es diferente a las decenas de miles de incidentes a los que hemos respondido a lo largo de los años. Los atacantes adaptaron sus capacidades de clase mundial específicamente para apuntar y atacar a FireEye. Están altamente capacitados en seguridad operacional y se ejecutan con disciplina y enfoque. Operaron clandestinamente, utilizando métodos que contrarrestan las herramientas de seguridad y el examen forense. Utilizaron una combinación novedosa de técnicas que no habíamos visto nosotros ni nuestros socios en el pasado.

Estamos investigando activamente en coordinación con la Oficina Federal de Investigaciones y otros socios clave, incluido Microsoft. Su análisis inicial respalda nuestra conclusión de que este fue el trabajo de un atacante patrocinado por el estado altamente sofisticado que utilizó técnicas novedosas.    

Durante nuestra investigación hasta la fecha, descubrimos que el atacante apuntó y accedió a ciertas herramientas de evaluación del Equipo Rojo que usamos para probar la seguridad de nuestros clientes. Estas herramientas imitan el comportamiento de muchos actores de amenazas cibernéticas y permiten que FireEye brinde servicios esenciales de seguridad de diagnóstico a nuestros clientes. Ninguna de las herramientas contiene exploits de día cero. De acuerdo con nuestro objetivo de proteger a la comunidad, estamos lanzando métodos y medios de manera proactiva para detectar el uso de nuestras herramientas del Equipo Rojo robadas.   

No estamos seguros si el atacante tiene la intención de utilizar nuestras herramientas del Equipo Rojo o de divulgarlas públicamente. Sin embargo, por precaución, hemos desarrollado más de 300 contramedidas para que nuestros clientes y la comunidad en general las utilicen a fin de minimizar el impacto potencial del robo de estas herramientas.  

Hasta la fecha, no hemos visto evidencia de que algún atacante haya utilizado las herramientas robadas del Equipo Rojo. Nosotros, así como otros miembros de la comunidad de seguridad, continuaremos monitoreando cualquier actividad de este tipo. En este momento, queremos asegurarnos de que toda la comunidad de seguridad esté al tanto y protegida contra el intento de uso de estas herramientas del Equipo Rojo. Específicamente, esto es lo que estamos haciendo:

  • Hemos preparado contramedidas que pueden detectar o bloquear el uso de nuestras herramientas del Equipo Rojo robadas.
  • Hemos implementado contramedidas en nuestros productos de seguridad.
  • Compartimos estas contramedidas con nuestros colegas de la comunidad de seguridad para que puedan actualizar sus herramientas de seguridad.
  • Estamos poniendo las contramedidas a disposición del público en nuestra publicación de blog, " Acceso no autorizado a las herramientas del equipo FireEye Red ".
  • Continuaremos compartiendo y refinando cualquier mitigación adicional para las herramientas del Equipo Rojo a medida que estén disponibles, tanto pública como directamente con nuestros socios de seguridad.

De acuerdo con un esfuerzo de ciberespionaje de un estado-nación, el atacante buscaba principalmente información relacionada con ciertos clientes del gobierno. Si bien el atacante pudo acceder a algunos de nuestros sistemas internos, en este punto de nuestra investigación, no hemos visto evidencia de que el atacante haya exfiltrado datos de nuestros sistemas primarios que almacenan información del cliente de nuestra respuesta a incidentes o compromisos de consultoría, o los metadatos recopilados. por nuestros productos en nuestros sistemas dinámicos de inteligencia de amenazas. Si descubrimos que se tomó información del cliente, lo contactaremos directamente.

Durante muchos años, hemos identificado, catalogado y divulgado públicamente las actividades de muchos grupos de amenazas persistentes avanzadas (APT), lo que permite a la comunidad de seguridad en general detectar y bloquear amenazas nuevas y emergentes.

Todos los días, innovamos y nos adaptamos para proteger a nuestros clientes de los actores de amenazas que actúan fuera de los límites legales y éticos de la sociedad. Este evento no es diferente. Confiamos en la eficacia de nuestros productos y los procesos que utilizamos para refinarlos. Hemos aprendido y seguimos aprendiendo más sobre nuestros adversarios como resultado de este ataque, y la comunidad de seguridad en general emergerá de este incidente mejor protegida. Nunca seremos disuadidos de hacer lo correcto.

Declaraciones prospectivas

Ciertas declaraciones contenidas en esta publicación de blog constituyen "declaraciones prospectivas" dentro del significado de la Sección 27A de la Ley de Valores de 1933, según enmendada, y la Sección 21E de la Ley de Bolsa de Valores de 1934, según enmendada. Estas declaraciones prospectivas se basan en nuestras creencias, comprensión y expectativas actuales y pueden estar relacionadas, entre otras cosas, con declaraciones sobre nuestras creencias y comprensión actuales con respecto al impacto y la escala del evento revelado y nuestra comprensión de lo ocurrido. Las declaraciones prospectivas se basan en la información disponible actualmente y en nuestras creencias, expectativas y comprensión actuales, que pueden cambiar a medida que avanza la investigación y se aprende más, incluido lo que el atacante apuntó y accedió. Estas declaraciones están sujetas a eventos futuros, Riesgos e incertidumbres, muchos de los cuales están fuera de nuestro control o actualmente son desconocidos para FireEye. Estos riesgos e incertidumbres incluyen, entre otros, nuestra investigación en curso, incluido el posible descubrimiento de nueva información relacionada con el incidente.

Las declaraciones prospectivas se refieren solo a la fecha en que se realizan y, aunque tenemos la intención de proporcionar información adicional sobre el ataque, FireEye no se compromete a actualizar estas declaraciones salvo que sea requerido por la ley y específicamente renuncia a cualquier deber de hacerlo.

el mismo fabricante fireeye recomienda tomar las medidas necesarias en ciberseguridad, a continuación les detallamos:

Link de referencia:https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html

Reglas: https://github.com/fireeye/red_team_tool_countermeasures/tree/master/rules

Link de reglas de Snort: https://github.com/fireeye/red_team_tool_countermeasures/blob/master/all-snort.rules

Link de reglas Yara: https://github.com/fireeye/red_team_tool_countermeasures/blob/master/all-yara.yar

Link Parches o CVE: https://github.com/fireeye/red_team_tool_countermeasures/blob/master/CVEs_red_team_tools.md


Fuente: https://www.fireeye.com/

No olvides Compartir...  

Siguenos en twitter: @disoftin - @fredyavila

No hay comentarios:

Publicar un comentario

Más leídas este mes