Tisdagen den 8 december avslöjade FireEye att de hade komprometterats av en mycket sofistikerad nationsstatsgrupp (sannolikt rysk) som använde nya tekniker för att exfiltrera sina Red team-verktyg. Hackerattacken mot FireEye anses nu vara den största kända stölden av cybersäkerhetsverktyg sedan NSA hackades av ShadowBrokers.

FBI bekräftade att intrånget var utfört av en nationalstat men de avböjde att kommentera detta vidare. FireEye har inte avslöjat intrångets omfattning och därför kan experter bara spekulera om skadan. Många människor inom informationssäkerhetsbranschen har uttryckt sina åsikter om hackningen och lyft fram olika teorier, t.ex. att hackarna inte stal Red team-verktyg eller kunddata utan snarare konfidentiell information om högprofilerade hotgrupper.

Offensiva cyberverktyg i händerna på hotgrupper har allvarliga konsekvenser. Användning av stulna, offensiva cyberverktyg stör befogenhetsbranschen och gör det möjligt för nationalstatssponsrade grupper att dölja sitt ursprung.

FireEye förtydligade dock att de stulna Red team-verktygen inte innehöll några nolldagsutnyttjanden och att de endast innehöll välkända och dokumenterade metoder som används av Red team över hela världen. Även om FireEye sade att de inte tror att stölden kommer att främja angriparnas totala offensiva förmåga, så har de arbetat med att bygga upp motåtgärder för att skydda sina kunder och informationssäkerhetsbranschen. För att hjälpa organisationer att upptäcka användningen av stulna verktyg har FireEye publicerat motåtgärder  som består av hundratals signaturer för lättillgänglig teknik som OpenIOC, Yara, Snort och ClamAV.

LogPoints kunder kan använda dessa Snort-regler för att upptäcka om offensiva verktyg används mot dem.

(norm_id=Snort OR norm_id=SuricataIDS) message IN FEYE_RED_TOOLS_SIGS

Säkerhetsforskaren Florian Roth har släppt listan över träffar i FireEyes YARA-regler. LogPoints kunder kan använda hashtaggen som IOC för att leta upp dem med Sysmons processkapande händelser.

norm_id=WindowsSysmon label="Process" label=Create hash IN FEYE_RED_TOOLS_HASHES

Bortsett från slutpunkterna kan LogPoint korrelera IoC-hashar med andra källor, inklusive brandväggar och antivirus.

hash IN FEYE_RED_TOOLS_HASHES

Om Sysmon inte används i miljön kan kunderna istället använda processnamnen, men detta ger många falska positiva resultat och är inte något som rekommenderas. 

norm_id=WinServer label="Process" label=Create "process" IN FEYE_RED_TOOLS_NAMES

I praktiken kan kunderna använda tre listor: FEYE_RED_TOOLS_SIGS som består av namn på IoC snort-regler, FEYE_RED_TOOLS_HASHES som består av hashtaggar och FEYE_RED_TOOLS_NAMES som består av processnamn.

Ett högprofilerat hack mot ett cybersäkerhetsföretag har ytterligare stärkt uppfattningen att inget företag är säkert mot hot från aktörer som agerar under nationalstater, och att det bara är en tidsfråga om när ett företag drabbas. De obegränsade resurserna och den tid som är tillgänglig för grupper under nationalstater kan övervinna även välskyddade företags försvar.

Informationssäkerhetsbranschen inväntar nu på en detaljerad rapport om incidenten och vid lanseringen måste alla företagsförsvarare vara redo att lägga till detekteringar för alla nya TTP:er som används av dessa nationalstatsgrupper.

Läs mer om LogPoint

Boka en LogPoint-demo
Kundfall
Kundrecensioner