Entreprise américaine de cybersécurité, FireEye a pour habitude de détecter et aider à prévenir des cyberattaques majeures. Elle compte parmi ses clients de grandes entreprises à travers le monde et des agences gouvernementales.
Très connu pour suivre à la trace des groupes APT (Advanced Persistent Threat) qui agissent avec le soutien de certains États, FireEye révèle avoir été la victime d'une récente cyberattaque dite très sophistiquée et probablement commanditée par… un État.
D'après FireEye, les attaquants ont eu recours à une combinaison de techniques inédite à ce jour. Une enquête est en cours en collaboration avec le FBI et d'autres partenaires, dont Microsoft qui est cité. Ils corroborent le caractère hautement sophistiqué de la cyberattaque.
Des outils de hacking dérobés
Les attaquants ont ciblé et ont pu avoir accès à des outils de la Red Team utilisés par FireEye pour tester la sécurité de ses clients en imitant le comportement de cyberattaquants. Le groupe assure dans sa communication que de tels outils de test de pénétration ne contiennent pas d'exploits 0day (sans correctif disponible). Dans le cas contraire, cela aurait pu avoir des conséquences catastrophiques.
Sur son compte GitHub, FireEye publie une liste d'indicateurs de compromission et contre-mesures associés aux outils de sa Red Team. Une liste de plusieurs vulnérabilités de sécurité devant être corrigées (avec les correctifs idoines disponibles) dans le but de limiter l'efficacité des outils est également partagée.
Dans de telles conditions forcément délicates pour FireEye, c'est un sacré exercice auquel cet acteur majeur de la cybersécurité est contraint. Il est à saluer. Néanmoins, il y a d'autres inquiétudes sur l'exfiltration de données de clients de FireEye et d'informations liées à des menaces qui pourraient révéler leurs faiblesses.
" Bien que l'attaquant ait pu accéder à certains de nos systèmes internes, à ce stade de notre enquête, nous n'avons trouvé aucune preuve que l'attaquant ait exfiltré des données de nos systèmes primaires. " Rassurant… pour le moment.
FireEye ne fait pas d'attribution précise concernant l'origine de la cyberattaque. D'après le Washington Post, elle serait en lien avec les services de renseignement russes et le groupe Cozy Bear, ou APT29 comme le désigne FireEye.
