av Bhabesh Raj Rai, Associate Security Analytics Engineer

Tirsdag 8. desember offentliggjorde FireEye at de ble kompromittert av en svært sofistikert nasjonalstatgruppe, sannsynligvis russisk, som brukte nye teknikker for å eksfiltrere deres varslingsverktøy. FireEye-hackingen regnes nå som det mest kjente tyveriet av nettsikkerhetsverktøy siden NSA ble hacket av ShadowBrokers.

FBI bekreftet at innbruddet kom fra en annen stat, men avslo å kommentere videre. FireEye har ikke offentliggjort omfanget av inntrengningen, og eksperter kan for øyeblikket bare spekulere i skaden. Mange i Infosec-fellesskapet har uttalt hva de mener om hackingen og kommet med ulike teorier som at hackerne ikke stjal verktøy eller kundedata, men heller konfidensielle etterretningsdata om høyprofilerte trusselgrupper.

Offensive nettsikkerhetsverktøy i hendene på trusselgrupper får alvorlige konsekvenser. Bruken av stjålne nettsikkerhetsverktøy forstyrrer attribution-spillet og gjør det mulig for statlig sponsede grupper fra andre land å skjule sin opprinnelse.

FireEye forklarte imidlertid at de stjålne verktøyene ikke inneholdt utnyttelser som ikke har vært i bruk ved Zero-day-angrep, og de inneholder bare velkjente og dokumenterte metoder som brukes over hele verden. Selv om FireEye sa at de ikke tror at tyveriet vil gi angriperens offensive egenskaper et stort løft, har de jobbet med å bygge opp mottiltak for å beskytte kundene sine og Infosec-fellesskapet. For å styrke organisasjoners evne til å oppdage bruken av stjålne verktøy, har FireEye 
 som består av hundrevis

LogPoint-kunder kan bruke de utgitte Snort-reglene til å finne ut om verktøyene brukes mot dem.

(norm_id=Snort OR norm_id=SuricataIDS) message IN FEYE_RED_TOOLS_SIGS

Sikkerhetsforsker Florian Roth har utgitt listen over treff i FireEyes YARA-regler. LogPoint-kunder kan bruke hash-ene som IOC-er til å slå dem opp med Sysmons prosessopprettelseshendelser.

norm_id=WindowsSysmon label="Process" label=Create hash IN FEYE_RED_TOOLS_HASHES

I tillegg til endepunktene, kan LogPoint korrelere IoC-hash-ene med andre kilder, inkludert brannmurer og antivirus.

hash IN FEYE_RED_TOOLS_HASHES

Hvis Sysmon ikke distribueres i miljøet, kan kundene bruke prosessnavnene i stedet, men dette gir mange falske varslinger og anbefales ikke. 

norm_id=WinServer label="Process" label=Create "process" IN FEYE_RED_TOOLS_NAMES

I praksis kan kundene bruke tre lister: FEYE_RED_TOOLS_SIGS som består av navn på IoC snortregler, FEYE_RED_TOOLS_HASHES som består av hash-er og FEYE_RED_TOOLS_NAMES som består av prosessnavn.

Et høyprofilert hack på et nettsikkerhetsselskap har ytterligere befestet oppfatningen om at ingen selskaper er trygge, og at det er bare et spørsmål om når flere selskaper blir kompromittert. De ubegrensede ressursene og tiden som er tilgjengelig for disse nasjonalstatgruppene, kan knekke forsvaret til selv de best forsvarte virksomhetene.

Infosec-fellesskapet venter nå på detaljert informasjon om hendelsen, og ved utgivelsen må alle være klare til å legge til deteksjoner for eventuelle nye TTP-er som brukes av disse nasjonalstatgruppene.

Lær mer om LogPoint

Bestill en demo
Kundecaser
Kundeanmeldelser