19 de abril de 2024

FireEye, uma das principais empresas de segurança cibernética, afirma que foi invadida por um Estado-nação

9 de dezembro de 2020

A empresa do Vale do Silício disse que os hackers – quase certamente russos – fugiram com ferramentas que poderiam ser usadas para montar novos ataques em todo o mundo.

WASHINGTON – Por anos, a empresa de segurança cibernética FireEye foi a primeira chamada para agências governamentais e empresas em todo o mundo que foram hackeadas pelos atacantes mais sofisticados, ou que temem ser.

Agora parece que os hackers – neste caso, as evidências apontam para as agências de inteligência da Rússia – podem estar se vingando.

A FireEye revelou na terça-feira que seus próprios sistemas foram perfurados pelo que chamou de “uma nação com capacidades ofensivas de alto nível”. A empresa disse que os hackers usaram “novas técnicas” para criar seu próprio kit de ferramentas, que poderia ser útil para montar novos ataques em todo o mundo.

Foi um roubo impressionante, semelhante a ladrões de banco que, depois de limparem os cofres locais, deram meia volta e roubaram as ferramentas de investigação do FBI. Na verdade, a FireEye disse na terça-feira, momentos após o fechamento do mercado de ações, que havia entrado em contato com o FBI.

A empresa de US $ 3,5 bilhões, que ganha a vida em parte identificando os culpados em algumas das violações mais ousadas do mundo – seus clientes incluem Sony e Equifax – se recusou a dizer explicitamente quem foi o responsável. Mas sua descrição, e o fato de que o FBI entregou o caso aos especialistas da Rússia, deixaram poucas dúvidas de quem eram os principais suspeitos e de que eles estavam atrás do que a empresa chama de “ferramentas do Red Team”.

Essas são ferramentas essencialmente digitais que replicam as ferramentas de hacking mais sofisticadas do mundo. A FireEye usa as ferramentas – com a permissão de uma empresa cliente ou agência governamental – para procurar vulnerabilidades em seus sistemas. A maioria das ferramentas é baseada em um cofre digital que a FireEye protege de perto.

O FBI confirmou na terça-feira que o hack foi obra de um estado, mas também não disse qual. Matt Gorham, diretor assistente da Divisão Cibernética do FBI, disse: “O FBI está investigando o incidente e as indicações preliminares mostram um ator com um alto nível de sofisticação consistente com um estado-nação”.

O hack levanta a possibilidade de que as agências de inteligência russas tenham visto uma vantagem em montar o ataque enquanto a atenção americana – incluindo a FireEye – estava voltada para a segurança do sistema de eleições presidenciais. Em um momento em que os sistemas de inteligência públicos e privados do país buscavam violações nos sistemas de registro eleitoral ou nas urnas eletrônicas, pode ter sido um bom momento para as agências russas, que estavam envolvidas nas violações das eleições de 2016, virarem seus olhos outros alvos.

O hack foi o maior roubo conhecido de ferramentas de segurança cibernética desde que as ferramentas da National Security Agency foram roubadas em 2016 por um grupo ainda não identificado que se autodenomina ShadowBrokers . Esse grupo despejou as ferramentas de hacking da NSA online durante vários meses, entregando aos estados-nações e aos hackers as “chaves do reino digital”, como disse um ex-operador da NSA. A Coreia do Norte e a Rússia acabaram por usar o armamento roubado da NSA em ataques destrutivos a agências governamentais, hospitais e os maiores conglomerados do mundo – a um custo de mais de US $ 10 bilhões.

As ferramentas da NSA foram provavelmente mais úteis do que as da FireEye, uma vez que o governo dos EUA constrói armas digitais específicas. As ferramentas Red Team da FireEye são essencialmente construídas a partir de malware que a empresa viu ser usado em uma ampla gama de ataques.

Ainda assim, a vantagem de usar armas roubadas é que os estados-nações podem esconder seus próprios rastros quando lançam ataques.

“Os hackers poderiam aproveitar as ferramentas da FireEye para hackear alvos arriscados e de alto perfil com negabilidade plausível”, disse Patrick Wardle, um ex-hacker da NSA que agora é o principal pesquisador de segurança da Jamf, uma empresa de software. “Em ambientes arriscados, você não quer queimar suas melhores ferramentas, então isso dá aos adversários avançados uma maneira de usar as ferramentas de outra pessoa sem queimar seus melhores recursos.”

Um grupo de hackers patrocinado pelo Estado chinês foi anteriormente pego usando as ferramentas de hacking da NSA em ataques ao redor do mundo, aparentemente após descobrir as ferramentas da NSA em seus próprios sistemas. “É como um acéfalo”, disse o Sr. Wardle.

A violação provavelmente será um olho roxo para a FireEye. Seus investigadores trabalharam com a Sony após o ataque devastador de 2014 que a empresa posteriormente atribuiu à Coreia do Norte. Foi a FireEye que foi chamada depois que o Departamento de Estado e outras agências governamentais americanas foram violadas por hackers russos em 2015. E seus principais clientes corporativos incluem Equifax , o serviço de monitoramento de crédito que foi hackeado três anos atrás, afetando quase metade da população americana .

No ataque FireEye, os hackers fizeram de tudo para evitar serem vistos. Eles criaram vários milhares de endereços de protocolo de internet – muitos dentro dos Estados Unidos – que nunca haviam sido usados ​​em ataques. Ao usar esses endereços para preparar o ataque, permitiu que os hackers ocultassem melhor seu paradeiro.

“Este ataque é diferente das dezenas de milhares de incidentes aos quais respondemos ao longo dos anos”, disse Kevin Mandia, presidente-executivo da FireEye. (Ele foi o fundador da Mandiant, uma empresa que a FireEye adquiriu em 2014 ).

Mas a FireEye disse que ainda está investigando exatamente como os hackers violaram seus sistemas mais protegidos. Os detalhes eram escassos.

O Sr. Mandia, um ex-oficial de inteligência da Força Aérea, disse que os atacantes “adaptaram suas capacidades de classe mundial especificamente para mirar e atacar o FireEye”. Ele disse que eles pareciam ser altamente treinados em “segurança operacional” e exibiam “disciplina e foco”, enquanto se moviam clandestinamente para escapar da detecção de ferramentas de segurança e exames forenses. Google, Microsoft e outras empresas que conduzem investigações de segurança cibernética disseram nunca ter visto algumas dessas técnicas.

A FireEye também publicou elementos-chave de suas ferramentas “Red Team” para que outras pessoas ao redor do mundo vissem os ataques chegando.

Investigadores americanos estão tentando determinar se o ataque tem alguma relação com outra operação sofisticada que a NSA disse que a Rússia estava por trás em um alerta emitido na segunda-feira. Isso entra em um tipo de software, chamado VM para máquinas virtuais, que é amplamente utilizado por empresas e fabricantes de defesa. A NSA se recusou a dizer quais eram os alvos desse ataque. Não está claro se os russos usaram seu sucesso nessa violação para entrar nos sistemas da FireEye.

O ataque ao FireEye pode ser uma espécie de retaliação. Os investigadores da empresa convocaram repetidamente unidades da inteligência militar russa – o GRU, o SVR e o FSB, a agência sucessora da KGB da era soviética – por hacks de alto nível na rede elétrica na Ucrânia e em municípios americanos. Eles também foram os primeiros a chamar os hackers russos por trás de um ataque que desmontou com sucesso as travas de segurança industrial em uma planta petroquímica saudita, a última etapa antes de desencadear uma explosão.

“Os russos acreditam na vingança”, disse James A. Lewis, especialista em segurança cibernética do Centro de Estudos Estratégicos e Internacionais em Washington. “De repente, os clientes da FireEye estão vulneráveis.”

Na terça-feira, a Associação Nacional de Segurança da Informação Internacional da Rússia realizou um fórum com especialistas em segurança global, onde autoridades russas novamente afirmaram que não havia evidências de que seus hackers fossem responsáveis ​​por ataques que resultaram em sanções e acusações americanas.

As empresas de segurança têm sido um alvo frequente de nações-estado e hackers, em parte porque suas ferramentas mantêm um nível profundo de acesso a clientes corporativos e governamentais em todo o mundo. Ao invadir essas ferramentas e roubar o código-fonte, espiões e hackers podem ganhar uma posição segura nos sistemas das vítimas.

McAfee, Symantec e Trend Micro estavam entre a lista das principais empresas de segurança cujo código um grupo de hackers que fala russo alegou ter roubado no ano passado. Kaspersky, a empresa de segurança russa, foi hackeada por hackers israelenses em 2017 . E em 2012, a Symantec confirmou que um segmento de seu código-fonte de antivírus foi roubado por hackers .

David E. Sanger relatou de Washington e Nicole Perlroth de San Francisco.

Fonte: https://www-nytimes-com.cdn.ampproject.org/

Matérias Relacionadas

‘BreachForums’ desativados, mas não eliminados: hackers reivindicam ataque

18 de abril de 2024

Setor alimentar e agrícola foi atingido por mais de 160 ataques de ransomware no ano passado

18 de abril de 2024

Condado de Missouri declara estado de emergência em meio a suspeita de ataque de ransomware

3 de abril de 2024

Veja mais..

Vendas na Dark Web impulsionam grande aumento em ataques de credenciais

19 de abril de 2024

Falso ‘cheater’ atrai jogadores para espalhar malware infostealer

19 de abril de 2024

Pesquisadores realizam Jailbreak de um dispositivo Cisco para executar DOOM

18 de abril de 2024

Ameaças internas(insiders) aumentam 14% anualmente

18 de abril de 2024

Possíveis hackers chineses usam OpenMetadata para criptominar

18 de abril de 2024