گزارش سرقت ابزارهای RedTeam شرکت FireEye و بررسی تاثیرات آن

سه شنبه ۲۵ آذر ۱۳۹۹ تعداد بازدید 1222

به سرقت رفتن ابزارهای RedTeam شرکت FireEye که یکی از بنام ترین شرکت های حوزه امنیت است بسیار خبر ساز شده و نکته مهم اینجاست که تبعات این رخداد بسیار مهم، نه تنها شهرت شرکت و امنیت شرکا و مشتریان آن را هدف قرار داده، بلکه به تهدیدی بالقوه برای دیگر سازمان ها تبدیل شده است.

گزارش سرقت ابزارهای RedTeam شرکت FireEye و  بررسی تاثیرات آن

از این رو طی چند روز گذشته انجمن ها و فروم های امنیتی پر شده است از پیشنهادات و گزارشاتی که سعی دارند تا ریسک موجود را به حداقل برسانند. سند پیش رو سعی دارد با یک نگاه واقع بینانه بر اساس سند منتشر شده از سمت شرکت FireEye  و همچنین تلاش متخصصان امنیتی خود تاثیر این ریسک را برای مشتریان خود به حداقل برساند.

بر اساس پست منتشر شده در بلاگ شرکت FireEye در تاریخ هشتم دسامبر معادل 18 آذر ماه، این شرکت مدعی شده است که ابزارهای مورد استفاده Red Team این شرکت طی یک حمله پیچیده به سرقت رفته است. شرکت FireEye در گزارشی خبر از شناسایی یک بدافزار که خود نام آن را SUNBURST نهاده است نمود. در این گزارش عنوان شده است این بدافزار با بکارگیری چندین تکنیک پیشرفته و بهره گیری از Backdoor شناسایی شده در SolarWinds, در حال قربانی کردن سازمان های دولتی و شرکت های خصوصی در دنیا می باشد. در گزارش تحلیلی این بدافزار به یک C&C با دامنه avsvmcloud.com اشاره شده است که بدافزار به زیردامنه های آن درخواست ارسال می نماید. سطح خطر این گزارش به حدی می باشد که آژانس امنیت سایبری آمریکا (CISA) در هشداری فوری به همه ی شرکت های دولتی و سازمان های آن کشور در تماس تلفنی عنوان نموده است که وضعیت امنیتی شبکه خود را بررسی نمایند و سرورهای SolarWinds خود را از شبکه قطع و یا خاموش نمایند. به نظر می رسد نفوذ به شبکه ی FireEye نیز با استفاده از این آسیب پذیری صورت پذیرفته و یا حتی خود آن شرکت نقشی در پیاده سازی آن داشته باشد.

آقای Kevin Mandia مدیر عامل این شرکت اعلام کرد که با توجه به نوع حمله و تکنیک‌های استفاده شده، به احتمال زیاد این حمله از طرف دولت‌ها پشتیبانی شده است. این شرکت اعلام کرد هنوز شواهدی مبنی بر استفاده از این ابزارها توسط هیچ یک از شرکای این شرکت گزارش نشده است. ابزارهای به سرقت رفته از این شرکت شامل طیف گسترده ای از ابزارهای ساده تا فریم ورکهای امنیتی می شوند اما هیچ کدام از ابزارهای به سرقت رفته حاوی اکسپلویت های روز صفر نمی شوند. البته لازم به ذکر است با توجه به ماهیت آن شرکت و کارفرماهای آن, که نهادهای امنیتی آمریکا می باشند, یقینا قابلیت های این ابزارها بسیار بیشتر از سطح عنوان شده در بیانیه می باشد.

لیستی از اقدامات متقابل و پیشگیرانه در صفحه GitHub شرکت FireEye قرار گرفته است که به روز رسانی می شود. این لیست از آدرس  قابل دسترسی است و شامل موارد زیر می شود.

https://github.com/fireeye/red_team_tool_countermeasures

گزارش کامل این خبر توسط واحد عملیات امنیت سایبری شرکت امن افزار گستر شریف تهیه شده و از طریق لینک زیر قابل نمایش است.