Le hack FireEye de la Russie est une déclaration, mais pas une catastrophe

FireEye a construit sa réputation de défendre les clients à fort enjeu contre les pirates. Aujourd’hui, la firme de cybersécurité a reconnu qu’elle avait elle-même été victime d’une brèche – et que les attaquants se sont enfuis avec certains de ses outils offensifs. C’est un aveu surprenant mais presque certainement pas aussi dévastateur que cela puisse paraître à première vue.

Comme de nombreuses entreprises de cybersécurité, FireEye utilise ses outils de «l’équipe rouge» pour imiter ceux utilisés dans de vraies attaques et rechercher les vulnérabilités dans les systèmes numériques de ses clients comme le feraient de vrais adversaires. L’entreprise est en mesure de mettre à jour et d’affiner ses méthodes car elle rencontre et étudie de véritables outils de piratage étatique et criminel tout en aidant les clients à répondre aux incidents. Mais c’est encore loin d’investir pour développer un nouvel arsenal offensif – et pas aussi effrayant que les outils dont dispose, par exemple, la National Security Agency.

Le PDG de FireEye, Kevin Mandia, a déclaré aujourd’hui dans un article de blog que la société avait été confrontée aux retombées d’une «attaque par un pays doté de capacités offensives de haut niveau» et avait engagé l’aide du Federal Bureau of Investigation avec des pairs du secteur comme Microsoft. . Le Washington Post signalé mardi, que des hackers d’un groupe connu sous le nom d’APT 29 ou Cozy Bear, attribué au service de renseignement extérieur russe SVR, ont commis la brèche.

FireEye a à la fois une proéminence mondiale et une histoire d’engagement avec les acteurs russes. La société a été la première, par exemple, à lier le groupe de hackers connu sous le nom de Sandworm – responsable des pannes de courant en Ukraine en 2015 et 2016 ainsi que du ver hyperdestructif NotPetya l’année suivante – à l’unité 74455 de l’agence de renseignement militaire GRU de Russie. FireEye a également fourni la première preuve publique que la même unité GRU était responsable de la tentative de sabotage des Jeux olympiques d’hiver de 2018. Toutes ces attaques ont ensuite été nommées dans un acte d’accusation américain contre six pirates informatiques de Sandworm descellés en octobre.

Le piratage apparemment de représailles envoie une déclaration claire selon laquelle si la Russie a pu être relativement calme lors de l’élection présidentielle américaine, les prouesses numériques du Kremlin restent formidables. Dans le même temps, les retombées du piratage ne se comparent pas à la sortie d’outils comme l’outil Eternal Blue de la NSA, qu’un groupe mystérieux appelé Shadow Brokers a divulgué en 2017, ou à la violation de l’équipe de piratage du courtier d’exploit en 2015.

«Les données les plus importantes dont dispose une entreprise comme FireEye sont des données sur ses clients. Les deuxièmes données les plus importantes dont ils disposent sont les sources et les méthodes qu’ils utilisent pour protéger leurs clients », comme les données de renseignement sur les menaces, déclare Richard Bejtlich, ancien directeur de la sécurité de Mandiant, la division de réponse aux incidents de FireEye et principal stratège de sécurité du réseau. cabinet d’analyse Corelight. « Plus loin, se trouvent les outils de l’équipe rouge, où ils imitent les adversaires. »

FireEye a déclaré mardi qu’aucun des outils volés de l’équipe rouge n’utilisait les soi-disant exploits du jour zéro – des mécanismes qui militaient des vulnérabilités logicielles secrètes et non corrigées, ce qui les rend particulièrement dangereuses. Néanmoins, la Russie pourrait utiliser les outils elle-même, les partager avec d’autres ou les divulguer publiquement. La société a déclaré qu’elle ne comprenait pas encore pleinement les plans ou les motivations des pirates, bien qu’ils aient principalement concentré leurs attaques sur des informations liées à certains clients gouvernementaux de FireEye.

Mandia a souligné à plusieurs reprises que FireEye proposait plus de 300 «contre-mesures» destinées à rendre plus difficile pour la Russie d’utiliser efficacement les outils de piratage volés. L’entreprise a incorporé ces antidotes numériques, essentiellement des mécanismes de détection et des outils de blocage, dans ses propres produits de sécurité, les a partagés avec d’autres entreprises et a les a publiés publiquement.