Une autre pandémie que celle du coronavirus sévit en ce moment : la cyberpiraterie. Elle n’épargne aucun secteur d’activité, pas même celui de la cybersécurité. FireEye en a fait l’amère expérience. La firme de Milpitas, très active dans la lutte au hacking d’État, vient en effet de se faire dérober des informations et une partie de sa technologie par ce qui semble être un État.
« Récemment, nous avons été attaqués par un acteur hautement sophistiqué, dont la discipline, la sécurité opérationnelle et les techniques nous portent à croire qu’il s’agissait d’une attaque parrainée par un État », indique le CEO de FireEye Kevin Mandia sur le blog de la société. « Cette attaque est différente des dizaines de milliers d’incidents auxquels nous avons répondu au fil des ans. Les attaquants ont adapté leurs capacités de classe mondiale spécifiquement pour cibler et attaquer FireEye », ajoute-t-il précisant que les attaquants, « hautement qualifiés en sécurité opérationnelle » ont opéré clandestinement, en utilisant des méthodes qui contrecarrent les outils de sécurité et un examen scientifique. Il précise que la société enquête avec le FBI, Microsoft et « d’autres partenaires clés ».
Kevin Mandia pense les pirates souhaitaient notamment obtenir des informations sur certains de ses clients gouvernementaux. Il semble toutefois qu’aucune information client n’ait été dérobée. En revanche, l’attaquant a ciblé et accédé à certains outils d’évaluation de la Red Team (une équipe de professionnels organisée pour simuler les attaques d’un adversaire potentiel) utilisés pour tester la sécurité des clients. Les outils dérobés vont de simples scripts utilisés pour automatiser la reconnaissance à des frameworks entiers similaires à des techniques accessibles au public telles que CobaltStrike et Metasploit. Ces outils appliquent des méthodes bien connues et documentées utilisées par d’autres équipes de simulation d’attaques à travers le monde. Ils ne contiennent aucun exploit zero-day assure FireEye.
« Nous ne savons pas si l’attaquant a l’intention d’utiliser nos outils Red Team ou de les divulguer publiquement », reconnait Kevin Mandra. « Néanmoins, par prudence, nous avons développé plus de 300 contre-mesures pour nos clients, et la communauté dans son ensemble, afin de minimiser l’impact potentiel du vol de ces outils. »
Selon le New York Times, qui rapporte que le FBI aurait confié l’enquête à des spécialistes de la Russie, des agences de renseignement russes pourraient être à l’origine de ce piratage.
Devant ce qui ressemble à une humiliation, FireEye essaie de faire bonne figure et même de tirer avantage de la situation. « Nous avons appris et continuons d’en apprendre davantage sur nos adversaires à la suite de cette attaque, et la communauté de sécurité au sens large sortira de cet incident mieux protégée », assure Kevin Mandra. « Nous ne serons jamais dissuadés de faire ce qui est juste. »