Il CEO Kevin Mandia ha condiviso alcuni dettagli su come la sua azienda ha sradicato la principale campagna di attacchi informatici che ha colpito il governo degli Stati Uniti e le reti aziendali.
Il CEO di FireEye, Kevin Mandia, ha condiviso oggi alcune informazioni su attacco informatico alla società di sicurezza questo è stato il primo indizio di una massiccia e vasta campagna di attacco contro diverse importanti reti commerciali e del governo degli Stati Uniti.
In un panel ospitato oggi dall'Aspen Institute, Mandia ha descritto come la sua azienda abbia riconosciuto per la prima volta la gravità attacco che aveva subito, che descrive come un telefono appena registrato che utilizza un account utente FireEye sia stata la prima indicazione di attività dannose. "In questo caso particolare, l'evento che mi è stato comunicato e che ci ha fatto intensificare e dichiarare che si trattava di un incidente conclamato era che qualcuno stava accedendo alla nostra rete proprio come noi, ma lo stava facendo con un secondo dispositivo registrato", ha spiegato. L'utente FireEye il cui account era associato all'accesso segnalato è stato contattato e gli è stato chiesto se avesse registrato un nuovo telefono, ma non l'ha fatto.
"Anche se all'inizio si trattava di un avviso di gravità zero", ha affermato Mandia, era la prova di un importante evento di sicurezza. "Qualcuno ha aggirato la nostra autenticazione a due fattori registrando un nuovo dispositivo e accedendo alla nostra rete proprio come fanno i nostri dipendenti, ma in realtà non è stato un nostro dipendente", ha affermato.
I dettagli sul telefono illecito utilizzato nell'attacco erano segnalato per la prima volta da Yahoo News il mese scorso, in un'intervista con Charles Carmakal, vicepresidente senior e CTO di FireEye. "Hanno dovuto fornire le credenziali per autenticare [il loro dispositivo] al [sistema di autenticazione a più fattori] al fine di autenticarsi alla VPN FireEye", ha detto Carmakal a Yahoo News. “È stato il processo seguito dall'attaccante per iscriversi alla soluzione MFA, che è ciò che ha generato l'avviso. Ma a questo punto, l'attaccante aveva già il nome utente e la password del dipendente".
Mandia ha detto che il metodo di attacco era una grande bandiera rossa. "Nel momento in cui l'abbiamo visto, abbiamo capito che era il tipo di mestiere che i gruppi avanzati avrebbero fatto", ha osservato Mandia. Nessun malware e con il pretesto di un utente legittimo, "facendo esattamente quello che fanno i tuoi dipendenti quando vanno al lavoro tutti i giorni".
"Non c'è nessuna bacchetta magica che... trova backdoor nel software che tutti acquistiamo e di cui ci fidiamo", ha detto. "Ciò che ci ha portato a fare quel lavoro [di decompilazione] è stato, in effetti, tutto il lavoro forense" che abbiamo condotto in precedenza, dice. in, la prima prova di compromissione per noi è stata il sistema che ospitava il prodotto SolarWinds", ha affermato. Quindi, la società si è messa al lavoro per decompilare il codice e ha trovato 4,000 righe di codice dannoso.
Gli aggressori hanno installato malware in aggiornamenti legittimi del software di gestione della rete Orion di SolarWinds che è stato inviato a circa 18,000 clienti del software nel settore pubblico e privato. Secondo le valutazioni dell'intelligence statunitense, un numero molto limitato di tali organizzazioni è stato effettivamente preso di mira e compromesso.
L'attacco a FireEye
La prima fase dell'attacco ha piazzato la backdoor sulla rete di FireEye tramite la piattaforma SolarWinds, ha detto Mandia. La seconda fase ha utilizzato la backdoor per accedere alle credenziali del dominio, ha affermato, come account utente e passphrase. "La terza fase consisteva nell'ottenere i certificati di firma dei token per accedere a O365, probabilmente per specifici account di posta elettronica", ha affermato Mandia. La fase finale dell'attacco di FireEye è stata il furto dei suoi strumenti della squadra rossa.
Mandia ha affermato di non aver visto molte violazioni di ".com" per questo tipo di spionaggio, quindi il gruppo di attacco dietro questo "ha un odore diverso".
Mentre la comunità dell'intelligence statunitense, nonché diversi funzionari governativi ed esperti di sicurezza, hanno citato La Russia come colpevole, FireEye non lo ha fatto. La società ha attribuito l'attacco a un gruppo o stato-nazione sconosciuto o non classificato. "Non abbiamo fatto alcuna attribuzione oltre all'assegnazione di questa attività a UNC 2452. Un gruppo UNC, abbreviazione di non classificato, è un gruppo di attività di cyber-intrusione - che include artefatti osservabili come infrastrutture nemiche, strumenti e mestiere - che non siamo ancora pronto a dare una classificazione come APT o FIN", ha detto un portavoce di FireEye. "Man mano che raccogliamo ulteriori informazioni, l'attività del gruppo UNC può essere assegnata a un gruppo esistente, graduata a un nuovo gruppo o semplicemente rimanere non classificata".
Kelly Jackson Higgins è l'editore esecutivo di Dark Reading. È una pluripremiata giornalista veterana nel campo della tecnologia e del business con oltre due decenni di esperienza nel reporting e nell'editing per varie pubblicazioni, tra cui Network Computing, Secure Enterprise ... Visualizza la biografia completa
Letture consigliate:
Ulteriori intuizioni
- "
- 000
- accesso
- Il mio account
- aggiuntivo
- Tutti
- APT
- Autenticazione
- porta posteriore
- Nero
- violazioni
- affari
- Campagna
- ceo
- Charles
- classificazione
- codice
- Uncommon
- comunità
- azienda
- informatica
- Credenziali
- CTO
- Clienti
- Attacco informatico
- giorno
- scoperta
- dipendenti
- Impresa
- spionaggio
- Evento
- esecutivo
- esperti
- trova
- Nome
- pieno
- Enti Pubblici
- Gruppo
- Come
- HTTPS
- Compreso
- Infrastruttura
- Intelligence
- Colloquio
- IT
- giornalista
- Guidato
- maggiore
- il malware
- gestione
- AMF
- Rete
- reti
- notizie
- minimo
- Password
- piattaforma
- Presidente
- un bagno
- Prodotto
- la percezione
- pubblicazioni
- Acquista
- Lettura
- problemi di
- condiviso
- Corti
- piccole
- So
- Software
- portavoce
- Stage
- sistema
- Tecnologia
- furto
- token
- Affidati ad
- Aggiornamenti
- us
- noi governo
- veterano
- Vicepresidente
- VPN
- bacchetta magica
- Lavora
- Yahoo