Connexion
Abonnez-vous

Piratage de FireEye, un des leaders de la cybersécurité, par un État-nation

Piratage de FireEye, un des leaders de la cybersécurité, par un État-nation

Le 09 décembre 2020 à 09h30

L'entreprise spécialisée dans la cybersécurité aide nombre d'agences gouvernementales et d'entreprises du monde entier. Elle a révélé mardi que ses propres systèmes avaient été percés par ce qu'elle a qualifié d'« une nation dotée de capacités offensives de haut niveau », rapporte le New York Times. 

Les pirates se sont emparés d'outils qui pourraient être utilisés pour lancer de nouvelles attaques dans le monde entier. La description de l’opération, et le fait que le FBI ait confié l'affaire à ses spécialistes russes, laissent peu de doute sur l'identité des principaux suspects et sur le fait qu'ils recherchaient ce que la société appelle les « outils de l'équipe rouge ».

Ce piratage soulève la possibilité que les agences de renseignement russes aient vu un avantage à monter l'attaque tandis que l'attention américaine – y compris celle de FireEye – se concentrait sur la sécurisation des systèmes de l'élection présidentielle. Il s'agirait du plus grand vol connu d'outils de cybersécurité depuis que ceux de la NSA ont été volés en 2016 par un groupe encore non identifié qui se faisait appeler les ShadowBrokers.

Le 09 décembre 2020 à 09h30

Commentaires (18)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Pas de chance, je venais d’avoir une présentation de leurs services la semaine dernière. Alors de deux choses l’une : soit ils sont négligent et n’appliquent pas leurs outils pour eux mêmes, soit on peut craindre que contre des états attaquants, tout le monde se retrouve démuni et qu’un attaquant motivé disposant de moyens conséquents finira toujours pas réussir.



Je me rappelle qu’il y a quelques années, on comptait sur les Etats disposant d’une force d’attaque sur les doigts d’une main. Aujourd’hui, certains analystes considèrent que la majorité des APT sont conduites par des acteurs étatiques ou proches du pouvoir. Pas très rassurant…

votre avatar

Pour compléter : FireEye propose des outils de détection d’attaque ; il n’y a pas d’outils offensifs à proprement parler, comme chez NSO par exemple : les outils d’attaques sont documentés, basé sur des attaques connues, et ils sont utilisés pour tester les défenses du client, l’objectif premier étant la défense.



Cela ne veut pas dire que c’est moins intéressant pour les attaquants, dont le but serait plutôt de savoir comment ils risquent d’être détecté afin de contourner la détection et la réponse.

votre avatar

Une grande majorité des piratages informatiques sont issus de négligence humaines, ça ne m’étonnerait pas du tout que ce soit le cas ici aussi et qu’ils enjolivent un peu l’histoire pour pas passer pour des blaireaux, ça s’est déjà vu…
Comme le proverbe le dit : les cordonniers sont toujours les plus mal chaussés.
Ils sont libre de raconter ce qu’ils veulent.

votre avatar

Sincèrement les gars, si vous bossez dans la sécurité ou le threat intelligence, vous devriez déjà être en mesure de répondre à minima aux questions posées ci-dessus.
D’une part, FireEye est loin d’être des vendeurs de vent vu qu’ils ont été dans la réponse de certains des plus gros incidents. D’autre part, la kill chain qui a été appliquée est bien loin des attaques de scriptkiddies. Il y a d’ailleurs une belle liste de CVE à traiter en résultat de cette attaque.

votre avatar

Bonjour. Du coup, hors entreprise, est-ce que cela risque de se traduire par des mises à jour Windows Mac OS ou Linux pour le particulier ? Merci

votre avatar

ToMMyBoaY a dit:


Sincèrement les gars, si vous bossez dans la sécurité ou le threat intelligence, vous devriez déjà être en mesure de répondre à minima aux questions posées ci-dessus.


Qu’est-ce que cet argument ad hominem vient faire là ?
On peut bosser dans la sécurité et sortir des âneries sans être ignare ou incompétent.
On peut ne pas bosser dans la sécurité et tout de même avoir des informations fiables.




ToMMyBoaY a dit:


D’une part, FireEye est loin d’être des vendeurs de vent vu qu’ils ont été dans la réponse de certains des plus gros incidents.


Qu’est-ce cet argument d’autorité vient faire là ?
La taille & les médiatisation des incidents auxquels une structure répond ne présume en rien la possibilité qu’ils se fasse trouer comme des bleus.




ToMMyBoaY a dit:


D’autre part, la kill chain qui a été appliquée est bien loin des attaques de scriptkiddies.


Vrai




ToMMyBoaY a dit:


Il y a d’ailleurs une belle liste de CVE à traiter en résultat de cette attaque.


[EDIT] Vrai
github.com GitHub

votre avatar

Berbe a dit:


Qu’est-ce que cet argument ad hominem vient faire là ? On peut bosser dans la sécurité et sortir des âneries sans être ignare ou incompétent. On peut ne pas bosser dans la sécurité et tout de même avoir des informations fiables.


Il vient là tout simplement parce qu’il est trop tôt pour aller mettre en avant une quelconque faute de la part de FireEye. D’abord parce qu’absolument personne n’est à l’abri de se “faire trouer” peu importe la rigueur apportée à la gestion du risque. Ensuite parce qu’aller mettre tout de suite en doute les informations publiées pour sortir un argument fallacieux est juste inacceptable.




Qu’est-ce cet argument d’autorité vient faire là ? La taille & les médiatisation des incidents auxquels une structure répond ne présume en rien la possibilité qu’ils se fasse trouer comme des bleus.


Tu as raison et je le dis précédemment aussi : Tout le monde peut se faire “trouer”. Mais FireEye est un professionnel de la réponse à incident et de l’analyse forensic. Ce savoir-faire devra être jugé sur la base de la gestion post-incident et non sur le simple fait d’avoir été victime d’une attaque. Mon argument n’avait aucune autre intention.

votre avatar

ToMMyBoaY a dit:


Il vient là tout simplement parce qu’il est trop tôt pour aller mettre en avant une quelconque faute de la part de FireEye.


Donc il n’a rien à faire là. CQFD.

votre avatar

NON, cette attaque n’implique pas qu’il faut traiter des CVE, les CVE étaient déjà à traiter avant cette attaque ! Ces vulnérabilités existent, indépendamment de l’attaque sur FireEye. Si les outils red teams sont publiés, il sera (il est vrai) alors plus facile pour un attaquant de les exploiter, puisque l’exploitation est déjà écrite ! Mais je ne pense pas que ça soit le but de l’attaquant. L’attaquant a plutôt cherché à savoir comment FireEye détectait les attaques afin de trouver des moyens de les détecter et donc de les éviter.



FireEye se base sur les CVE pour construire des outils d’attaques, comme d’autres éditeurs et comme les attaquants. Il ne s’agit pas de zero-days, à savoir des vulnérabilités sans correctif, mais de failles connues sur lesquelles tout le monde travaille et pour construire une protection. FireEye ne vend pas de zero-day ou d’outils d’attaques, mais utilise les attaques connues ou possibles (via les CVE publiées) pour construire des outils de détection et de réponse.



Exemple : Pour une CVE donnée, ils construisent un outil d’attaque (red team), le jouent sur l’infra du client, et regardent si ça passe ou pas ; si ça passe, alors ils proposent des traitements (mitigations).

votre avatar

Autre fait : parmi la liste des CVE indiquée par FireEye, il y a la CVE-2016-0167 qui date de 2016 comme sa référence l’indique. C’était une zero day, à l’époque, et elle était déjà exploitée. Donc la publication des outils red team ne changera rien à l’exploitation de cette attaque. Simplement les attaquants savent maintenant comment FireEye la détectait et la corrigeait.



Dernier rappel ; le vrai traitement de cette faille est d’appliquer la mise-à-jour que Microsoft a réalisée… en avril 2016.

votre avatar

Patch a dit:


Donc il n’a rien à faire là. CQFD.


Non. Ce qui n’a rien à faire la est le post initial accusant FireEye de négligence caractérisée. Supprime l’origine et toute la chaîne de réactions derrière devient inutile.

votre avatar

janiko a dit:


NON, cette attaque n’implique pas qu’il faut traiter des CVE, les CVE étaient déjà à traiter avant cette attaque ! Ces vulnérabilités existent, indépendamment de l’attaque sur FireEye. Si les outils red teams sont publiés, il sera (il est vrai) alors plus facile pour un attaquant de les exploiter, puisque l’exploitation est déjà écrite ! Mais je ne pense pas que ça soit le but de l’attaquant. L’attaquant a plutôt cherché à savoir comment FireEye détectait les attaques afin de trouver des moyens de les détecter et donc de les éviter.



FireEye se base sur les CVE pour construire des outils d’attaques, comme d’autres éditeurs et comme les attaquants. Il ne s’agit pas de zero-days, à savoir des vulnérabilités sans correctif, mais de failles connues sur lesquelles tout le monde travaille et pour construire une protection. FireEye ne vend pas de zero-day ou d’outils d’attaques, mais utilise les attaques connues ou possibles (via les CVE publiées) pour construire des outils de détection et de réponse.



Exemple : Pour une CVE donnée, ils construisent un outil d’attaque (red team), le jouent sur l’infra du client, et regardent si ça passe ou pas ; si ça passe, alors ils proposent des traitements (mitigations).


C’est toujours la même chose. Chaque outil d’exploitation de CVE sortant dans la nature - comme c’est le cas ici - augmente le risque de te faire attaquer par ce biais.



La gestion du patching est une affaire de priorisation que ce genre d’événement vient influer. Mais comme je disais plus haut, rien n’est jamais parfait dans ce domaine. Donc sachant que les outils sont désormais dans la nature, c’est un argument suffisant pour vérifier son exposition potentielle.

votre avatar

ToMMyBoaY a dit:


Non. Ce qui n’a rien à faire la est le post initial accusant FireEye de négligence caractérisée.


Pour ma part, je n’ai pas accusé FireEye de négligence, je n’en sais rien, j’ai donc dit que soit c’était une négligence, et dans ce cas là c’est dommage, soit (dans le cas où ils appliquent bien des mesures de sécurité interne, ce qui est en effet probable, mais je n’en sais rien non plus) que l’attaque est alors inarrêtable même pour FireEye et là c’est inquiétant.

votre avatar

janiko a dit:


Je suppose qu’il s’agit du mien. Je n’ai pas accusé FireEye de négligence, je n’en sais rien, j’ai donc dit que soit c’était une négligence, et dans ce cas là c’est dommage, soit (dans le cas où ils appliquent bien des mesures de sécurité interne, ce qui est en effet probable, mais je n’en sais rien non plus) que l’attaque est alors inarrêtable même pour FireEye et là c’est inquiétant.


Mes propos étaient un peu trop agressifs et je m’en excuse. Mais c’est celui d’Altrex qui m’a poussé à mon coup de gueule. En tout cas, le sujet est sensible car FireEye doit avoir un paquet d’informations sensibles de ses clients. J’attends beaucoup du rapport d’incident. Mais pour le moment FireEye semble jouer une certaine transparence.

votre avatar

Pour faire plaisir à Marc Rees:




A priori les outils dérobés de la division Red Team de chez FireEye ne contiennent pas de zero-day magique qui permettrait aux attaquants d’avoir de nouveaux joujous à diposition (coucou ShadowBrokers).



Le niveau de l’attaque est mentionné sur le blog de chez FireEye : “The attackers tailored their world-class capabilities specifically to target and attack FireEye. They are highly trained in operational security and executed with discipline and focus. They operated clandestinely, using methods that counter security tools and forensic examination. They used a novel combination of techniques not witnessed by us or our partners in the past.”



Du coup voler des outils d’attaque qui sont soit des scripts maisons d’automatisation de reconnaissance, soit des variantes de Cobalt Strike et consorts, donc relativement “grand public” pour un attaquant qui peut se permettre un tel niveau de sophistication c’est un peu risqué.



Si les premières affirmations à demi-mot côté FBI et autres entités impliquées dans l’enquête se confirment, on pointerait du doigt le groupe APT29 (aka Cozy Bear).



A noter aussi que FireEye a publié publiquement la liste des mesures à appliquer pour identifier et/ou se prémunir des attaques qui proviendraient de leurs outils.



Vu le nombre de clients et la taille (clients institutionnels ou équivalent OIV au hasard), il y avait quand même des infos plus intéressantes à aller piocher chez FireEye que juste des outils techniques. Voir pourquoi pas simplement aller relever des infos sur ce que l’entreprise sait du groupe (ou même des autres APT, pour mimer et brouiller les pistes sur des attaques ultérieures par exemple). On serait alors plus dans un vol par opportunité pour l’outillage offensif.

votre avatar

Encore la faute d’un stagiaire qui a cliqué sur « Install our new FireEye security tools » :transpi:

votre avatar

D’un autre côté, ils ont tout intérêt à dire que l’adversaire était super hyper mega top puissant et absolument impossible à contrer (que ce soit vrai ou pas). Jamais ils n’iront dire que leur réseau était facile à trouer.

votre avatar

Piratage de FireEye, un des leaders de la cybersécurité, par un État-nation

Fermer