Amerika Birleşik Devletleri‘nin en büyük siber güvenlik şirketlerinden biri olan FireEye, geçtiğimiz Salı günü yaptığı açıklamada, “üst düzey saldırı yeteneklerine sahip bir ülke“ tarafından saldırıya uğradığını ve saldırganların şirketin ağ savunmalarını test etmek için kullandığı araçları çalındığını söyledi.
Hem Amerika Birleşik Devletleri’nde hem de ulusal güvenlik alanında özel konuma sahip bir şirket olan FireEye’ın hacklenmesi, son zamanlardaki en önemli ihlallerden biri oldu.
FireEye ihlali CEO Kevin Mandia bir blog yazısında açıkladı. Açıklamada, “red team araçlarının” muhtemelen “devlet destekli” operasyonunun sonucunda çalındığı belirtildi.
Not: The New York Times ve The Washington Post, FBI‘ın soruşturmayı Rus uzmanlarına devrettiğini ve saldırının muhtemelen Rusya‘nın SVR Dış İstihbarat Servisi‘ne bağlı devlet destekli hackerlar olan APT29 veya Cozy Bear‘ın işi olduğunu bildirdi.
Mandia, “Siber güvenlikteki 25 yıllık ve olaylara yanıt verme deneyimime dayanarak, üst düzey saldırı yeteneklerine sahip bir ülkenin saldırısına tanık olduğumuz sonucuna vardım. Ve araştırmamızın ayrıntılarını paylaşarak, herkesin siber saldırılarla savaşmak ve onlara karşı kendimizi savunmak için daha donanımlı hale geleceğini düşünüyoruz” diye yazdı ve “Bu saldırı, yıllar boyunca yanıtladığımız on binlerce olaydan farklı. Saldırganlar, birinci sınıf yeteneklerini özellikle FireEye’ı hedef alacak ve saldıracak şekilde uyarladılar” ekledi.
FireEye’ın araçlarının kullanıldığına veya müşteri verilerinin çalındığına dair şuan için bir kanıt yok.
Şirket, Red Team araçlarının etkinliğini sınırlamak için ele alınması gereken daha önce ifşa edilen 16 kritik zafiyetin listesi de dahil olmak üzere 300’e yakın yöntem yayınladı.
Bilgi Güvenliği Sorumlusu Rick Holland ise, “Umarım bu araçlar halkın eline geçmez. Hacking Team‘in ve NSA‘nın EternalBlue aracının sızıntılarının zarar verici etkisini gördük . Bu araçlar yaygın olarak kullanılabilir hale gelirse, saldırganları engellemenin azaldığına dair başka bir örnek olacaktır. Sonuç olarak bu araçlar yanlış ellere geçerse siber güvenlik uzmanlarının hayatlarını daha zorlu hale getirecek” dedi.
Halka açık FireEye’nin hisseleri Salı günü geç saatlerde işlem gördükten sonra yaklaşık %8 düştü.
Önemli: Virustotal Retrohunt, son 12 ayda VirusTotal’a gönderilen tüm dosyaları YARA kurallarınızla taramanıza olanak sağlayan bir özelliktir. 12 aylık limit VirusTotal Hunting Pro kullanıcıları için geçerlidir, standart kullanıcılar için limit 3 aydır. Retrohunt, 420 milyondan fazla dosyayı (680 TB değerinde veri) 3-4 saat içinde tarar ve girdiğiniz kurallara uyan dosyaları bir rapor halinde bildirir. Bu özellik genellikle false-positive değerlerini tespit etmede faydalı olduğundan YARA kurallarını test etmek için kullanılır. FireEye tarafından yayınlanan YARA kuralları, Virustotal Retrohunt özelliği ile incelendiğinde, FireEye tarafından (muhtemelen geliştirilip) internete yüklenen bir çok farklı türde zararlı yazılım olduğu görülmektedir.