image

Aanvaller steelt scripts, scanners en tools securitybedrijf FireEye

woensdag 9 december 2020, 07:28 door Redactie, 17 reacties

Een aanvaller heeft ingebroken op de systemen van securitybedrijf FireEye en zo scripts, scanners en tools van het bedrijf kunnen stelen, zo heeft FireEye zelf in een blogposting bekendgemaakt. Het gaat om tools die FireEye gebruikt voor het testen van de beveiliging van klanten, zoals scripts voor het automatisch verkennen van netwerken tot exploitatie-frameworks die op CobaltStrike en Metasploit lijken.

Er zijn bij de aanval geen zeroday-exploits of onbekende technieken buitgemaakt. Volgens FireEye zal de diefstal de aanvaller in kwestie dan ook niet veel helpen. Kevin Mandia, ceo van FireEye, stelt dat de aanvaller als primair doel naar informatie over bepaalde overheidsklanten zocht. Er zijn echter geen aanwijzingen gevonden dat er ook data van systemen waarop klantgegevens staan is buitgemaakt.

Om misbruik van de gestolen tools te voorkomen heeft het securitybedrijf verschillende rules en signatures voor programma's als Snort, Yara en ClamAV beschikbaar gesteld waarmee de scripts, scanners en frameworks zijn te detecteren. Tevens heeft FireEye een lijst gepubliceerd van kwetsbaarheden waar de gestolen tools onder andere gebruik van maken. Het gaat met name om beveiligingslekken die uit 2018 en 2019 stammen.

Hoe de tools konden worden gestolen laat FireEye niet weten. Het bedrijf spreekt van een "zeer geraffineerde" door een staat gesponsorde aanvaller die een combinatie van nog nooit eerder vertoonde technieken gebruikte, maar details worden verder niet gegeven.

Image

Reacties (17)
09-12-2020, 08:28 door spatieman
dan moet je je toch hard schamen als iemand zijn eigen "security" niet in orde heeft.
09-12-2020, 08:43 door Anoniem
Haha natuurlijk waren er 1337 hackerskills nodig om binnen te dringen. Ben benieuwd of de aanvaller nog laat weten dat het eigenlijk doodeenvoudig was. We zullen zien :-)
09-12-2020, 08:46 door Anoniem
Prestigieus Amerikaans cyberbeveiligingsbedrijf slachtoffer hack
berichtgeving NOS tech, gepubliceerd om 02:06 uur 's nachts

https://nos.nl/artikel/2359876-prestigieus-amerikaans-cyberbeveiligingsbedrijf-slachtoffer-hack.html

Wie de hackers zijn wil FireEye niet zeggen, maar volgens The New York Times zijn er aanwijzingen dat het om Russische inlichtingendiensten gaat. Het bedrijf heeft de FBI ingeschakeld, evenals partners zoals Microsoft. Ook de FBI is ervan overtuigd dat de aanval uitgevoerd is in opdracht van een staat.

FireEye, a Top Cybersecurity Firm, Says It Was Hacked by a Nation-State

https://www.nytimes.com/2020/12/08/technology/fireeye-hacked-russians.html
09-12-2020, 09:02 door _R0N_
Door spatieman: dan moet je je toch hard schamen als iemand zijn eigen "security" niet in orde heeft.

Een loodgieter heeft ook wel eens lekkage..

Het bedrijf spreekt van een "zeer geraffineerde" door een staat gesponsorde aanvaller die een combinatie van nog nooit eerder vertoonde technieken gebruikte

Als dit waar is zou het kunnen dat bijvoorbeeld de NSA een backdoor had in bepaalde software.
09-12-2020, 09:17 door Anoniem
Door spatieman: dan moet je je toch hard schamen als iemand zijn eigen "security" niet in orde heeft.

Onzin. Voor hetzelfde geld maakte de aanvaller gebruik van een verzameling 0-day exploits. Daar ben je nauwelijks tegen gewapend, zeker als je met state actors te maken hebt. En daarnaast: 100% veiligheid bestaat niet, dan zou iedereen nou toch wel moeten weten. Typisch gevalletje "de beste stuurlui staan aan wal".
09-12-2020, 10:18 door Anoniem
Rules and signatures? die CVEs zijn allemaal oud? dat zou elk degelijk security product al moeten zien....?
09-12-2020, 10:29 door [Account Verwijderd]
We are actively investigating in coordination with the Federal Bureau of Investigation and other key partners, including Microsoft. Their initial analysis supports our conclusion that this was the work of a highly sophisticated state-sponsored attacker utilizing novel techniques.

Niks novel techniques. Het als securitybedrijf toegeven dat je je eigen zaakjes niet voor elkaar hebt, dat is hier het probleem.

#nofurthercomment
09-12-2020, 11:06 door Anoniem
Door spatieman: dan moet je je toch hard schamen als iemand zijn eigen "security" niet in orde heeft.
Wat een onzin. Elk bedrijf kan gehackt worden. Dat is niet een kwestie van óf, maar van wanneer en hoeveel schade.

Waar ik een bedrijf op beoordeel is: hoe snel heb je door dat je gehackt bent, hoe snel en adequaat reageer je daar op, en hoeveel openheid van zaken geef je. In dit geval had FireEye wat meer openheid kunnen geven over hoe en precies wanneer die aanval heeft plaatsgevonden, maar ze nemen overduidelijk hun maatschappelijke verantwoordelijkheid en gooien in feite een enorme set bedrijfsgeheimen het publieke domein in om te helpen de impact van die aanval voor de maatschappij te verminderen.

Ik vind het echt om te janken dat men hier kennelijk denkt dat een security-bedrijf niet gehackt zou moeten kunnen worden.
09-12-2020, 11:08 door Anoniem
Door Toje Fos:
We are actively investigating in coordination with the Federal Bureau of Investigation and other key partners, including Microsoft. Their initial analysis supports our conclusion that this was the work of a highly sophisticated state-sponsored attacker utilizing novel techniques.

Niks novel techniques. Het als securitybedrijf toegeven dat je je eigen zaakjes niet voor elkaar hebt, dat is hier het probleem.

#nofurthercomment
Want dat je Microsoft-producten gebruikt, dat betekent dat je je zaakjes niet op orde hebt? Manmanman...
09-12-2020, 15:37 door Anoniem

Want dat je Microsoft-producten gebruikt, dat betekent dat je je zaakjes niet op orde hebt? Manmanman...

Wat een onzin opmerking. Als je Microsoft producten gebruikt zijn de zaakjes niet op orde. ben zeker geen Microsoft fan-boy. Maar dat zijn echt opmerkingen daar gaan me haren recht van overeind staan. Iets zeggen zonder onderbouwing.

Unix/Linux zitten ook tal van lekken in of andere OS`n. Daarnaast heeft dit er vaak nog geen eens mee te maken. Als je onderbouwing hebt waarom je dan geen Microsoft producten moet gebruiken en die zijn ook gedegen. Prima. maar kom niet met zoiets aan.
09-12-2020, 18:35 door Anoniem
Door spatieman: dan moet je je toch hard schamen als iemand zijn eigen "security" niet in orde heeft.
Nou nou, als hier de Russische staat achter zit, dan is het niet zomaar een aanval. Uiteindelijk kan alles en iedereen gehacked worden. Lees het boek van Huib Modderkolk en je zult tot de conclusie komen dat je je nooit 100% tegen gerichte hacks van statelijke actoren kan beschermen.
Ik vermoed dat deze hack van een iets andere (geavanceerde) aard is, dan de hack van zeg gemeente Hof van Twente of Veiligheidsregio Noord-Oost Gelderland.
09-12-2020, 22:38 door Anoniem
Elk bedrijf heeft zijn cybersecurity op orde. Zeggen ze.
Wordt je dan toch gehackt, dan moet het 'dus' wel een "geavanceerde" attack zijn (APT), of een natie-staat.
In het laatste geval krijgen dan de Russianen de schuld.
Kortom, men kan er niets aan doen.

Blijkt dan vaak na een aantal dagen dat de R's er niets mee te maken hadden.
En dat de oorzaak ligt bij iets heel simpels.
09-12-2020, 23:16 door Anoniem
Dat is dat bedrijf die ook van die dure opleidingen faciliteert op het gebied van security bootcamps.


Maar dat is wel tamelijk ernstig allemaal.. Het zal je maar overkomen.


Oordelen kan iedereen.. dat is altijd de makkelijke weg, DUs ik ben benieuwd wat er precies gebeurt is..wellicht kan het ons ook overkomen.


Maar ja ze waren dus via internet benaderbaar. die tooling. NIET ECHT HANDIG.
10-12-2020, 15:01 door Anoniem
Oef...

https://twitter.com/peterkruse/status/1337028534875942912?s=08

Als FireEye zo'n waarscjuwing zelf al negeert (buiten het zelf niet te herkennen...
10-12-2020, 23:04 door Anoniem
Door spatieman: dan moet je je toch hard schamen als iemand zijn eigen "security" niet in orde heeft.
De schilder zijn huis staat het slechtst in de verf. Maar ja wel een beetje slecht, kan me herinneren dat meer grote audit partijen hier last van hebben hadden waaronder de lidl, *deloitte. Het kotm vaker voor.
11-12-2020, 14:53 door Anoniem
Het moet wel een geraffineerde aanval zijn natuurlijk. Als het simpel phishing en credential theft was geweest dan was Fireeye wel erg afgegaan. Nu zijn ze stoer omdat het geraffineerd was en door een staat gesponserd en met nog nooit getoonde technieken. Sorry, maar ik ben een beetje sceptisch.
14-12-2020, 11:53 door Anoniem
Intussen is bekend dat de hackers de officiële update software-updates van SolarWinds van een backdoor hebben voorzien, en op deze wijze onder andere bij FireEye Zinn binnengekomen. Ik neem aan dat de beste stuurlui van een aantal van de bovenstaande reacties even op hun reactie terugkomen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.