[11/12/2020] La empresa de ciberseguridad FireEye anunció el martes que un sofisticado grupo de hackers, probablemente patrocinado por el Estado, irrumpió en su red y robó las herramientas que los expertos de la empresa desarrollaron para simular a los atacantes reales y probar la seguridad de sus clientes. Si bien este es un hecho preocupante, es poco probable que esto resulte en un aumento significativo del riesgo para las organizaciones, como lo hicieron algunas fugas de herramientas ofensivas en el pasado.
FireEye es una de las principales empresas de ciberseguridad del mundo con importantes clientes gubernamentales y empresariales en todo el mundo. La empresa es conocida por su investigación de primera categoría sobre los agentes de amenazas patrocinados por el Estado y sus capacidades de respuesta a incidentes. A lo largo de los años fue llamada a investigar algunas de las infracciones más destacadas de los gobiernos y organizaciones.
¿Quién ha violado FireEye?
"Recientemente, fuimos atacados por un actor de amenazas muy sofisticado, cuya disciplina, seguridad operativa y técnicas nos hacen creer que se trataba de un ataque patrocinado por el estado", dijo el director ejecutivo de FireEye, Kevin Mandia, en un anuncio público. "Este ataque es diferente a las decenas de miles de incidentes a los que hemos respondido a lo largo de los años. Los atacantes adaptaron sus capacidades de clase mundial específicamente para apuntar y atacar a FireEye. Están altamente capacitados en seguridad operacional y ejecutados con disciplina y concentración. Operaron clandestinamente, usando métodos que contrarrestan las herramientas de seguridad y el examen forense. Utilizaron una novedosa combinación de técnicas que no habíamos visto nosotros ni nuestros socios en el pasado".
¿Qué querían los atacantes de FireEye?
Los atacantes, de los que el Washington Post informó que son el brazo de hacking del servicio de inteligencia extranjero de la SVR de Rusia, conocido en la industria de la seguridad como APT29 o Cozy Bear, buscaban información relacionada con los clientes del gobierno de FireEye. La compañía dijo que hasta el momento no ha visto ninguna evidencia de que la información de los clientes relacionada con la respuesta a incidentes y los compromisos de consultoría haya sido robada, pero los atacantes obtuvieron algunas de las herramientas internas del equipo rojo de la compañía.
Equipo rojo es el término de la industria para los probadores de penetración contratados para simular ataques reales, de modo que los defensores -el equipo azul- puedan evaluar la fuerza de las medidas de seguridad de la organización, su capacidad de respuesta y el impacto de las posibles infracciones. Según FireEye, las herramientas que fueron robadas van desde simples scripts para reconocimiento de redes hasta marcos de ataque más avanzados que son similares a otros conjuntos de herramientas de pruebas de penetración disponibles públicamente como Metasploit o CobaltStrike, pero que fueron desarrollados específicamente para su equipo rojo. Algunas de las herramientas ya son públicas como parte de la máquina virtual de código abierto CommandoVM de la compañía, o son modificaciones de los scripts y paquetes de código abierto existentes.
"Las herramientas del equipo rojo robadas por el atacante no contenían exploits de día cero", dijo FireEye en una entrada de blog. "Las herramientas aplican métodos bien conocidos y documentados que son usados por otros equipos rojos alrededor del mundo. Aunque no creemos que este robo mejore en gran medida las capacidades generales del atacante, FireEye está haciendo todo lo posible para evitar tal escenario".
La compañía ha publicado indicadores de compromiso (IOCs) y reglas de detección y firmas para una variedad de tecnologías de detección de código abierto populares, incluyendo OpenIOC, Yara, Snort y ClamAV. También se ha publicado una lista con los identificadores CVE de todas las vulnerabilidades explotadas por las herramientas en la cuenta GitHub de la compañía.
Cómo se compara la brecha de FireEye con los anteriores robos de herramientas de ciberataque
Las filtraciones públicas de herramientas de ciberataques en el pasado, como el vertido de herramientas de la NSA en el 2017 y las hazañas de un grupo denominado Shadow Brokers o la filtración en el 2015 de herramientas de la empresa de software de vigilancia Hacking Team, dieron lugar a la adopción de esas capacidades ofensivas por parte de muchos grupos de atacantes.
"Lo primero en lo que pensé cuando me enteré de la brecha de FireEye fue en el vertedero de Shadowbrokers, y en cómo eso condujo a WannaCry", comentó Tod Beardsley, director de investigación de la empresa de gestión de la vulnerabilidad y el cumplimiento de la normativa Rapid7, que también supervisa el Proyecto Metasploit. "Sin embargo, hay algunas diferencias importantes entre ese robo y éste. A saber, las herramientas de FireEye, según las propias declaraciones de FireEye, parecen ser en su mayoría mejoras incrementales de las técnicas y herramientas públicas ya conocidas".
Shadow Brokers contenía EternalBlue y EternalRomance, dos exploits armamentísticos y fiables para las vulnerabilidades del protocolo SMB de Windows que Microsoft había parcheado un mes antes de la fuga tras ser alertado por la NSA. En el momento en que fueron robadas, sin embargo, las hazañas tenían estado de día cero. EternalBlue terminó alimentando los principales gusanos rasomware WannaCry y NotPetya del 2017 que interrumpieron cientos de miles de sistemas en las redes empresariales de todo el mundo y causaron miles de millones de pérdidas.
¿Cuál es el riesgo de la brecha de FireEye?
"No creo que debamos esperar algún tipo de ciberapocalipsis de esto [la fuga de FireEye], incluso si las herramientas finalmente se filtran o se publican", anota Beardsley. No me malinterpreten, el equipo rojo de FireEye es muy bueno, incluso de clase mundial, pero el alto nivel en el que operan se debe más a cómo llevan a cabo las operaciones ofensivas de principio a fin, y no a la dependencia de superherramientas secretas". Todo esto es para decir que las organizaciones de seguridad informática y de TI deberían seguir haciendo lo que están haciendo: gestionar el despliegue de parches en un tiempo razonable, tener una infraestructura de alerta decente para sus IDS/IPS/firewalls, y gestionar sus activos de forma sensata para reducir el riesgo de sus empresas".
Por ahora, FireEye dijo que no ha visto ninguna evidencia de que las herramientas fueron diseminadas o usadas por ningún adversario en la naturaleza. La realidad, sin embargo, es que este grupo de hackers no necesita realmente esas herramientas dando sus capacidades existentes. Según la propia descripción de FireEye, los atacantes desarrollaron una combinación de técnicas nunca antes vista para entrar en la empresa en primer lugar, por lo que es probable que sean más que capaces de crear herramientas similares a las que tenía FireEye.
Mike Wiacek, CEO y fundador de la empresa de seguridad cibernética Stairwell, y que anteriormente fundó el Grupo de Análisis de Amenazas de Google y sirvió como CSO de la empresa de seguridad de Alphabet's Chronicle, cree que los atacantes probablemente buscaban algo más y podrían haber tomado las herramientas porque era conveniente. También podría ser que simplemente las tomaron para analizarlas más tarde sin saber de antemano si serían valiosas.
"Un sofisticado adversario desarrolló nuevas técnicas para comprometer a FireEye solo para robar el código que imitaba a los atacantes conocidos. Nada de eso tiene sentido", anotó. "Es como si Jeff Bezos o Elon Musk robaran un banco a punta de pistola... es casi cómico imaginarse que esto ocurra. Esto es pura opinión/especulación por mi parte, pero parece un desperdicio de la capacidad de desarrollar técnicas novedosas y robar herramientas que imitan a atacantes conocidos. Parte de [mí] se pregunta si fueron por otra cosa, pero es imposible decirlo y las probabilidades son que FireEye ni siquiera lo sabe todavía. Similar a un atraco a un museo, donde alguien entra para robar la Mona Lisa pero tal vez agarra algo de la tienda de regalos al salir, lo primero que notará que falta es de la tienda de regalos, justo cuando entra".
El valor para los atacantes de tener esas herramientas podría ser que proporcionan alguna información sobre las técnicas de ataque que FireEye utiliza contra sus clientes y luego les enseña a detectar. El riesgo de que las herramientas se hagan públicas en algún momento es que las organizaciones que no son clientes de FireEye podrían no disponer de detección para ellas, ya que estaban destinadas a ser indetectables para los compromisos del equipo rojo. Por eso FireEye decidió desarrollar y publicar cientos de IOC y firmas de detección, una medida que muchos expertos en seguridad aplaudieron, así como la apertura y la respuesta general de la compañía hasta el momento.
"Existe un riesgo absolutamente mayor para las empresas debido al robo de estas herramientas", señala Roger Hale, CSO de la empresa de privacidad de datos BigID y veterano de la industria que ha servido en puestos de CISO y CSO en otras grandes empresas y firmas de ciberseguridad. "Las herramientas fueron diseñadas específicamente para no ser detectadas. Si bien la buena noticia es que FireEye publicó las IOC y las contramedidas, las empresas todavía necesitan actualizar sus pilas de seguridad para protegerse. El riesgo no se mitiga hasta que se despliegan las contramedidas y solo hasta que se modifican las herramientas".
Mientras que Hale piensa que los atacantes podrían avanzar su propia tecnología analizando y modificando las herramientas y técnicas de FireEye, está de acuerdo en que el riesgo es menor que el de la fuga de los Shadow Brokers.
Hay algo de riesgo, pero es la diferencia entre el riesgo multimillonario de las vulnerabilidades armamentísticas como vimos con WannaCry, versus un actor ya sofisticado que tiene otra herramienta para usar, señaló Robert Lee, CEO y fundador de la firma industrial de ciberseguridad Dragos. "Así que no digo que no haya riesgo. Es solo que hay muchas manzanas y naranjas en este punto".
La brecha de FireEye presenta una oportunidad para los defensores
Lee cree que el valor de las contramedidas publicadas por FireEye va más allá de que las organizaciones y los proveedores de seguridad solo desplieguen la detección de las herramientas filtradas en sus productos y redes, aunque eso debería suceder absolutamente.
"Es en realidad una oportunidad para que los defensores miren esas reglas de YARA e intenten pensar en las tácticas, técnicas y comportamientos expuestos, más que en la detección de las herramientas, porque les da la oportunidad de aprender del estilo de apuntar que FireEye fue capaz de hacer. Por lo tanto, podría incluso haber algunas cosas positivas que salen de esto para las organizaciones que lo hacen correctamente. Si amplía un poco la abertura, y piensa más allá del conjunto de herramientas de FireEye, debería ser capaz de encontrar buenas ideas de detección para grupos de adversarios más amplios".
No sería difícil para los atacantes modificar las herramientas filtradas para evadir las firmas de detección si quisieran, por lo que la detección de las técnicas que se están utilizando en su lugar podría resultar más útil. Dicho esto, no todas las empresas tienen grandes equipos de seguridad con el ancho de banda necesario para hacer un análisis tan profundo y convertirlo en un proyecto interno para fortalecer las defensas y eso probablemente está bien, porque probablemente hay agujeros más urgentes que necesitan ser cerrados.
"Si es una empresa más pequeña o una empresa que no tiene un equipo de seguridad muy sofisticado, no sé si esto se eleva a la cima de la lista", señala Lee. "Ha habido un montón de vulnerabilidades bastante malas de Microsoft que se han revelado últimamente, como ejemplo, así que tal vez esas terminen siendo más importantes para usted antes. Entonces, ¿creo que esto es lo más importante en lo que hay que centrarse? No. ¿Creo que es una buena oportunidad para centrarse en esto si tiene el ancho de banda? Por supuesto. De lo contrario, cada gran proveedor de seguridad va a añadir estas detecciones a su producto".
"Es virtualmente seguro que un adversario de esta naturaleza -de nuevo basado en las declaraciones de FireEye y del FBI- sería capaz de evadir trivialmente los indicadores publicados", comenta Wiacek. "Sin embargo, nadie es perfecto y las oportunidades de detectar actividades maliciosas no deben ser ignoradas debido a hipótesis".
La mayor lección de la brecha de FireEye: Cualquiera puede ser hackeado
Las empresas de ciberseguridad que son violadas por actores sofisticados no es algo inaudito -algunos ejemplos pasados incluyen ataques contra Kaspersky Lab, Bit9 y Avast-, y puede ser desalentador para los defensores de otras organizaciones ver que incluso aquellos que están en la cima del juego de la seguridad son hackeados. Después de todo, si esto le sucede a los mejores, ¿qué posibilidades tienen?
Vale la pena recordar que no existen defensas impenetrables cuando se trata de entornos complejos como las redes empresariales. Un atacante suficientemente motivado y con recursos suficientes encontrará eventualmente una manera. El objetivo de los programas de seguridad modernos es minimizar y gestionar el riesgo, no eliminarlo, y es común escuchar a los expertos en seguridad decir que es una cuestión de cuándo, y no si, lo hackean. Lo importante es estar preparado para manejar tales incidentes de la manera más eficiente posible y con un impacto razonablemente bajo para la organización.
"Me siento mal por la gente de FireEye, pero en todo caso, esta es una buena historia; por un lado, porque demuestra que incluso una empresa del sector privado puede detectar y responder a los adversarios a nivel estatal casi en tiempo real", anota Lee. "En realidad es algo muy bueno que no hayan sido violados y que se hayan enterado un año después. Fueron violados, lo detectaron casi inmediatamente y fueron capaces de responder correctamente, lo que minimizó el impacto de manera significativa. Eso es exactamente lo que los profesionales de Infosec tratan de hacer a las empresas: no solo la prevención, sino también la detección y la respuesta, porque aumenta su resistencia general. Espero que cualquiera que vea este caso, por muy impactante que sea a primera vista, pueda tomarlo y sentirse bastante envalentonado sobre lo que puede hacer con un programa de seguridad".
Basado en el artículo de Lucian Constantin (CSO) y editado por CIO Perú