Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Las herramientas Red Team de FireEye han sido robadas

Fecha de publicación 10/12/2020

FireEye, una de las principales empresas de ciberseguridad en todo el mundo dedicada al análisis y prevención de vulnerabilidades, ha informado haber sido víctima de un ciberataque a través del que les han robado sus herramientas Red Team destinadas a realizar pentesting.

El ciberdelincuente, un actor de amenazas altamente sofisticado, ha conseguido robar datos que abarcan desde scripts simples hasta entornos completos similares a CobaltStrike y Metasploit. No existen exploits de 0-Day entre los anteriores ni ha habido una fuga de datos de clientes.

Ante este incidente, FireEye ha publicado más de 300 contramedidas para que sus clientes se protejan contra las herramientas Red Team sustraídas, compartiéndolas asimismo con socios y agencias gubernamentales, para limitar la capacidad de explotación de las mismas.

Por el momento, no se tiene constancia de que las herramientas robadas se hayan distribuido o utilizado, y se mantiene una monitorización.

[Actualización 15/12/2020] Kevin Mandia, CEO de FireEye, ha publicado una entrada de blog en la que actualiza la información aportada sobre el robo de herramientas Red Team de FireEye. En el post, declara que han identificado una campaña mundial que compromete las redes de organizaciones públicas y privadas a través de la cadena de suministro de software, utilizando para ellos las actualizaciones de un software de gestión de infraestructuras de TI ampliamente empleado por diversas organizaciones, denominado SolarWinds Orion Platform. Asimismo, en una nota informativa que SolarWinds ha enviado a la Comisión de Bolsa y Valores​ de Estados Unidos (U. S. Securities and Exchange Commission, SEC), se detalla que ha habido una importante cobertura mediática de los ataques a los organismos gubernamentales de los Estados Unidos y otras empresas, y muchos de esos informes atribuyen esos ataques a una vulnerabilidad de los productos Orion. SolarWinds sigue investigando, en colaboración con el FBI y otras agencias del gobierno de EEUU, si la vulnerabilidad en los productos Orion fue explotada con éxito en cualquiera de los ataques reportados, y en qué medida.