L’éditeur de sécurité américain FireEye piraté par des hackers russes
La société américaine FireEye révèle au travers d'un publié sur son blog qu'elle a été victime d'une attaque par des hackers, probablement d'origine russe, et directement lié au Service de renseignements extérieurs de la Fédération de Russie.
Il faut savoir que la société FireEye travaille avec de grandes entreprises américaines ainsi qu'avec les agences fédérales américaines. Lors de cette attaque, les pirates ont pu dérober l'arsenal complet d'outils utilisé par FireEye pour réaliser ses audits. La récupération des outils de l'arsenal "Red team" ne sera pas forcément d'une grande utilité pour le groupe de pirates APT29, qui serait à l'origine de cette attaque. On peut imaginer qu'ils sont très bien équipés... D'ailleurs, ils auraient utilisés une nouvelle combinaison de techniques pour parvenir à pirater FireEye. Cela pourrait s'avérer plus grave pour l'éditeur si les outils qu'il a développé étaient publiés sur Internet et en libre accès. On se souvient en 2017 lorsqu'un outil de la NSA avait fuité sur Internet...
Précision importante : les outils ne permettent pas d'exploiter de failles Zero Day mais ils s'appuient sur des techniques connues. Sur GitHub, FireEye a publié des informations pour reconnaître la signature de ses outils mais aussi une liste de CVE à corriger car exploitée par leurs outils.
La véritable richesse est ailleurs : c'est la base de données de FireEye et ses analyses de menace. Si ces informations ont fuitées, les pirates ont pu récupérer des informations essentielles au sujet d'entreprises et agences américaines. Nous pouvons imaginer que les rapports d'audit contiennent les forces et les faiblesses du système d'information audité. Du pain béni pour les auteurs.
Kevin Mandia, le PDG de FireEye, précise qu'à ce stade de l'enquête il n'y a pas de preuve que les attaquants ont pu exfiltrer des données au sujet de clients. S'il y a des attaques chez les clients de FireEye dans les semaines à venir, on obtiendra probablement une réponse à cette question.