Один из крупнейших в мире поставщиков защитных решений, компания FireEye, сообщает, что пострадала от хакерской атаки. Известно, что злоумышленники успешно проникли во внутреннюю сеть компании и похитили проприетарные инструменты, которые FireEye использует для тестирования сетей своих клиентов.
Глава FireEye Кевин Мандиа (Kevin Mandia) заявляет, что атакующие искали информацию, касающуюся ряда государственных заказчиков компании, однако не добрались до информации о клиентах. В целом он охарактеризовал неизвестных, как «очень изощренных злоумышленников, чья дисциплина, операционная безопасность и методы работы заставляют предположить, что это была атака, спонсируемая государством».
«Данная атака отличается от десятков тысяч инцидентов, на которые мы реагировали на протяжении многих лет. Злоумышленники действовали тайно, используя методы, которые позволяют противостоять защитным и криминалистическим инструментам. Они использовали новые комбинации методов, свидетелями которых ни мы, ни наши партнеры не были в прошлом, — пишет Мандиа. — Основываясь на моем 25-летнем опыте работы в сфере кибербезопасности и реагирования на инциденты, я пришел к выводу, что мы стали свидетелями атаки со стороны государства, обладающего выдающимися наступательными возможностями».
Также FireEye сообщает, что данная оценка ситуации уже была подтверждена специалистами Microsoft, которых привлекли для расследования атаки. Кроме того, о случившемся уже уведомили ФБР, чьи специалисты в настоящее время так же оказывают компании помощь.
Так как в FireEye считают, что злоумышленники похитили специальные пентестерские инструменты, компания обнародовала на GitHub индикаторы компрометации и контрмеры, которые должны помочь другим компаниям определить, не использовали ли хакеры какие-либо похищенные инструменты FireEye для взлома их сетей. Также подчеркивается, что ни один из украденных инструментов не содержал 0-day эксплоитов, а похищенный инструментарий включал самые разные решения: от простых скриптов, используемых для автоматизации разведки, до крупных фреймворков, аналогичных CobaltStrike и Metasploit. Впрочем, многие из них ранее уже были доступны сторонним специалистам.
«Мы обнаружили, что злоумышленники нацелились на определенные инструменты нашей Red Team, которые мы используем для проверки безопасности наших клиентов, и получили доступ к ним. Эти инструменты имитируют поведение многих киберугроз и позволяют FireEye предоставлять клиентам необходимые диагностические услуги безопасности. Мы не уверены, намерены ли злоумышленники использовать наши инструменты или собираются открыто их обнародовать», — гласит заявление компании.