Firma de securitate cibernetică, FireEye, a fost multă vreme primul loc în care sunau agențiile guvernamentale și companiile de peste tot din lume care fuseseră țintele celor mai sofisticate atacuri cibernetice ori care se temeau de așa ceva și vroiau să le prevină.
Acum, scrie New York Times, se pare că hackerii au căutat să se răzbune pe FireEye, iar dovezile arată cu degetul spre serviciile de informații din Rusia.
FireEye a dezvăluit, marți, că propriile sale sisteme au fost penetrate de ceea ce a numit „o națiune cu capacități ofensive de nivel superior”. Potrivit companiei, hackerii au folosit „tehnici noi” pentru a-și pierde imediat urma, iar ele ar putea fi folosite în lansarea de noi atacuri în întreaga lume.
A fost un furt uimitor, hackerii acționând ca spărgătorii de bănci care, după ce au curățat seifurile, s-au întors și au furat instrumentele de investigație ale FBI. De fapt, FireEye a declarat marți, la câteva momente după închiderea bursei, că a și contactat FBI.
Compania, evaluată la 3,5 miliarde de dolari, care își câștigă parțial existența identificând vinovații pentru unele dintre cele mai îndrăznețe atacuri din lume – printre clienți s-au numărat Sony și Equifax – a refuzat să spună în mod explicit cine a fost responsabil. Dar descrierea făcută și faptul FBI a predat cazul specialiștilor săi pe Rusia, nu lasă nicio îndoială cu privire la principalii suspecți și că se merge pe așa-numita pistă „Red Team tools”
În esență, acestea sunt instrumente digitale care reproduc cele mai sofisticate instrumente de hacking din lume. FireEye folosește instrumentele – cu permisiunea unei companii client sau a unei agenții guvernamentale – pentru a căuta vulnerabilități în sistemele lor. Majoritatea instrumentelor se bazează pe un seif digital pe care FireEye îl protejează îndeaproape.
Marți, FBI a confirmat că atacul a fost opera unui stat, nu a precizat despre care ar fi vorba, dar a invocat „actor cu un nivel ridicat de rafinament”.
„Hackerii ar putea folosi instrumentele FireEye pentru a pirata ținte riscante, de înaltă calitate, cu posibilitatea de a nega plauzibila orice implicare”, a declarat Patrick Wardle, fost expert în hacking la NSA, în prezent cercetător principal în domeniul securității la Jamf, o companie de software.
Un grup de hacking sprijinit de statul chinez fusese prins anterior folosind instrumentele de hacking ale NSA în atacuri din întreaga lume.
În atacul asupra FireEye, hackerii au făcut eforturi extraordinare pentru a nu fi observați. Au creat câteva mii de adrese de protocol de internet – multe în interiorul Statelor Unite – care nu fuseseră utilizate până acum în atacuri. Utilizarea lor le-a permis hackerilor să-și ascundă mai bine locul din care acționau.
„Acest atac este diferit de zecile de mii de incidente la care am răspuns de-a lungul anilor”, a declarat Kevin Mandia, directorul executiv al FireEye. Dar încă investighează modul exact în care hackerii i-au penetrat cele mai protejate sisteme. Detaliile sunt puține.
Mandia, fost ofițer de informații al Forțelor Aeriene, a mai arătat că atacatorii „și-au adaptat capabilitățile de clasă mondială anume pentru a viza și ataca FireEye”. El a spus că aceștia par să fie foarte pregătiți în „securitatea operațională” și au manifestat „disciplină și concentrare” în timp ce se opera clandestin pentru a scăpa de detectarea instrumentelor de securitate și de examinarea criminalistică. Google, Microsoft și alte companii care efectuează investigații privind securitatea cibernetică au declarat că nu au mai văzut niciodată unele dintre aceste tehnici.
Anchetatorii americani încearcă să stabilească și dacă atacul are vreo legătură cu o altă operațiune sofisticată, în cazul căreia NSA a afirmat, luni, că Rusia se aflase în spate. Vizat fusese un tip de software, numit VM, de la mașini virtuale, utilizat pe scară largă de companiile și producătorii din industria de apărare. NSA a refuzat să spună care au fost țintele atacului. Nu este clar dacă rușii și-au folosit succesul înregistrat, prin crearea acelei breșe, pentru a intra și în sistemele FireEye.
Atacul asupra FireEye ar putea fi un fel de represalii. Anchetatorii companiei au arătat în repetate rânduri spre unități ale serviciilor de informații ruse – GRU, SVR și FSB – ca responsabile de atacuri cibernetice de înaltă calitate asupra rețelei electrice din Ucraina și unor municipalități americane. De asemenea, specialiștii FireEye au fost primii care au spus că hackerii ruși se află în spatele unui atac care a destrămat sistemele de siguranță industrială de la o uzină petrochimică saudită, un ultim pas înaintea declanșării unei explozii.
„Rușii cred în răzbunare”, susține James A. Lewis, expert în securitate cibernetică la Centrul pentru Studii Strategice și Internaționale din Washington. „Dintr-o dată, clienții FireEye sunt vulnerabili.”
Marți, Asociația Națională Rusă pentru Securitatea Internațională a Informațiilor a organizat un forum cu experți în securitate globală, unde oficialii ruși au susținut din nou că nu există dovezi că hackerii săi ar fi fost responsabili pentru atacuri care au dus la sancțiuni și acuzații lansate de americani.
Firmele de securitate au fost o țintă frecventă pentru entități statale și hackeri.
McAfee, Symantec și Trend Micro s-au numărat până acum printre companiile mari de securitate al căror cod a fost sustras anul trecut, atac revendicat de un grup de hackeri de limbă rusă. Firma rusă de securitate, Kaspersky, a fost piratată de hackeri israelieni în 2017. Iar în 2012, Symantec a confirmat că un segment al codului sursă pentru antivirus a fost furat de hackeri.
