Cosa succede se uno strumento di difesa dagli attacchi informatici viene a sua volta colpito da un attacco informatico? Il problema chiaramente si moltiplica, poiché chi ritiene di essere sotto tutela è in realtà in preda a possibili attacchi silenti e rischia di agire con eccessiva disinvoltura. Così è successo a FireEye ed ai suoi utenti, improvvisamente trovatisi nudi di fronte alle minacce esterne in virtù di un attacco informatico di alto profilo che ha avuto accesso ad alcuni strumenti in capo al gruppo. La prima conseguenza è sulle azioni FireEye, cadute del 7% immediatamente dopo l’annuncio.
FireEye: cosa è successo
Secondo quanto spiegato da FireEye in queste ore, un attacco “nation-wide” è riuscito ad impossessarsi degli strumenti in mano al “Red Team” con cui si testano i profili di sicurezza di aziende di orizzonte enterprise. Questi strumenti sono stati affinati negli anni per effettuare raffinati screening ai sistemi informatici in uso presso le aziende, affinché abbiano la possibilità di correggersi laddove evidenziano punti di debolezza da celare a possibili attacchi esterni. Un pacchetto di strumenti variegato e raffinato, insomma, che ora è passato però nelle mani del “nemico”.
FireEye spiega che alcuni di questi strumenti erano già stati rilasciati alla community Open Source, altri erano invece ancora sotto il pieno controllo del gruppo (e rappresentano il vero elemento prezioso sfuggito di mano): nessuno di questi tira in ballo falle zero-day che possano dunque aprire improvvisi allarmi di sicurezza, né utilizzavano tecniche top secret che possano arricchire in modo particolare la potenza di fuoco di un attacco avverso. Semplicemente, trattasi di best-practice ai massimi livelli, materiale utile ad effettuare stress test su grandi organizzazioni.
“Questo attacco è diverso dalle decine di migliaia a cui abbiamo risposto negli anni“, ha spiegato il CEO FireEye, Kevin Mandia: il processo è stato altamente sofisticato e l’identificazione ha richiesto analisi forensi anche con la collaborazione di Microsoft e dell’FBI. La conclusione può solo essere una: si tratta di un attacco portato avanti da alte professionalità, sponsorizzate da strutture statali, con finalità mirate ed utilizzando tecniche nuove in grado di sfuggire ai controlli posti in essere dal gruppo a difesa dei propri sistemi.
FireEye sta pubblicando ora tutte le azioni intraprese come contromisura a quanto accaduto, attivando un monitoraggio continuo per capire chi e come tenterà di utilizzare questi strumenti nel prossimo futuro.