Artur Marciniec - Fotolia
FireEye dévoile s’être fait dérober des outils offensifs maison
L’entreprise a adopté une stratégie de communication majoritairement perçue comme transparente et responsable. Quitte à faire une croix sur certains efforts de recherche et développement.
La nouvelle a retenti comme un coup de tonnerre sur l’industrie mondiale de la cybersécurité, dans la nuit du 8 au 9 décembre, heure de Paris : l’incontournable FireEye s’est fait pirater. Celui-là même qui profite d’une solide réputation de repère d’experts, et dont les équipes Mandiant sont régulièrement appelées en renfort pour intervenir sur des cas de cyberattaque.
Dans un billet de blog, Kevin Mandia, fondateur de Mandiant, racheté par FireEye début 2014, explique : « récemment, nous avons été attaqués par un acteur de la menace hautement sophistiqué, dont la discipline, la sécurité opérationnelle et les techniques nous conduisent à penser qu’il s’agissait d’une attaque soutenue par un État-nation ».
Concrètement, ses équipes estiment ainsi que « les attaquants ont taillé leurs capacités de classe mondiale spécifiquement pour viser et attaquer FireEye » afin d’exécuter leur opération « avec discipline et concentration ». Au final, « ils ont procédé clandestinement, utilisant des méthodes qui contrent les outils de sécurité et l’examen post-mortem », avec en prime « une combinaison novatrice de techniques que ni nous ni nos partenaires n’avons observées par le passé ».
Kevin MandiaFondateur de Mandiant
Microsoft et le FBI ont été associés à l’enquête, notamment. Et celle-ci a déjà permis d’attendre une conclusion : « certains outils d’évaluation en red team que nous utilisons pour tester la sécurité de nos clients » ont été visés et obtenus par les assaillants. Dans la pratique, ces outils de sécurité offensive « imitent le comportement de nombreux acteurs de la menace, et permettent à FireEye de fournir des services de diagnostic essentiels à nos clients ».
Une forme de contribution involontaire à l’open source
Face à cela, Kevin Mandia explique que ses équipes ont « préparé des contre-mesures qui peuvent détecter ou bloquer l’utilisation de nos outils red team volés ». Et celles-ci ont d’ailleurs été déployées dans les outils de FireEye.
Philippe Gillet, le directeur technique de Gatewatcher, ne manque pas de saluer une démarche qui revient à faire, potentiellement, une croix sur d’importants travaux de recherche et développement. De fait, FireEye propose sur GitHub des règles de détection, filtrage et chasse aux menaces : on trouve là des règles pour l’IDS/IPS Snort, des signatures pour ClamAV, ou encore des règles Yara.
Certains n’ont d’ailleurs pas manqué de s’emparer de ces dernières pour chercher, sur VirusTotal, des échantillons correspondants, à l’instar de Florian Roth. Surprise : celles-ci font remonter des échantillons téléversés sur VirusTotal pour l’essentiel entre septembre et début décembre. La nomenclature retenue laisse notamment entrevoir des outils potentiellement dérivés d’outils de sécurité offensive (OST) populaires tels que Sharphound, pour l’exploration d’environnements Active Directory, ou laisse encore à imaginer une implémentation d’exploit de la vulnérabilité zerologon. À défaut de publication du code source des outils de FireEye, ces échantillons devraient en permettre la rétro-ingénierie.
À cela s’ajoute une liste de 16 vulnérabilités exploitées par les outils de FireEye. Celles-ci sont bien connues et n’ont pas manqué d’être exploitées par des acteurs malveillants. Mais il y a là de quoi aiguiller les RSSI dans leurs priorités d’application de correctifs.