Как сообщается в блоге FireEye, хакерам удалось получить доступ к инструментам Red Team, которые специалисты компании используют для проверки IT-систем клиентов и поиска уязвимостей в них. В FireEye не исключают, что киберпреступники выложат эти инструменты в открытый доступ или воспользуются ими для новых атак, но пока ни того, ни другого не произошло. При этом в компании подчеркнули, что атака не привела к утечке данных клиентов FireEye, пишет The Verge.
"Эта атака отличалась от десятков тысяч инцидентов, с которыми мы сталкивались годами", - отметил гендиректор FireEye Кевин Мандиа, уточнив, что взломавшие системы компании хакеры очень хорошо знали свое дело и использовали методы, неизвестные специалистам FireEye.
В записи не уточняется, когда произошла эта атака и когда ее обнаружили. Также в компании не сообщили, власти какой страны стоят за взломавшими FireEye хакерами, но, по данным The Wall Street Journal, главными подозреваемыми являются российские хакеры, связанные со Службой внешней разведки (СВР). В настоящее время расследование инцидента продолжается, в нем принимают участие сотрудники ФБР и других IT-компаний, включая Microsoft.
В FireEye добавили, что после обнаружения атаки компания приняла свыше 300 контрмер, чтобы защитить клиентов и другие компании, занимающиеся вопросами кибербезопасности, от использования против них украденных инструментов FireEye. Изменения были внедрены в продукты FireEye, которыми компания поделилась с коллегами, а также выложила в публичный доступ.
Инцидент является крупнейшей кражей инструментов кибербезопасности с 2016 года, когда киберпреступники, именующие себя ShadowBrokers, похитили вредоносное ПО и эксплоиты из арсенала Агентства национальной безопасности (АНБ) США. В течение нескольких месяцев ShadowBrokers публиковали похищенные инструменты, предоставляя киберпреступникам и "правительственным" хакерам то, что один из бывших сотрудников АНБ назвал "ключами от цифрового королевства", напоминает SecurityLab.
Напомним, в сентябре компания Microsoft возложила на Россию ответственность за более чем половину санкционированных на государственном уровне кибератак, из числа зафиксированных специалистами Microsoft с июля 2019-го по июнь 2020 года.
В отчете компании говорилось, что Microsoft отслеживает деятельность государств в киберпространстве для защиты платформ, служб и клиентов Microsoft от атак хакеров. Если пользователь продуктов становится целью киберпреступников, деятельность которых санкционирована властями той или иной страны, Microsoft отправляет этому клиенту специальное уведомление. По данным Microsoft, за указанный период компания разослала более 13 тыс. таких уведомлений. Почти 90% атак осуществлялись из России (52%), Ирана (25%) и Китая (12%). Оставшиеся 11% атак пришлись на долю КНДР и других стран. Целями этих атак в основном были частные и корпоративные клиенты Microsoft из США (69%), Великобритании (19%), Канады (5%) и Южной Кореи (4%).