En İyi Siber Güvenlik Firması FireEye, Bir Devlet Tarafından Hacklendiğini Söyledi

WASHINGTON – Siber güvenlik firması FireEye, yıllardır dünyanın her yerinden en sofistike saldırganlar tarafından saldırıya uğrayan veya olabileceğinden korkan devlet kurumları ve şirketleri için ilk çağrı oldu.

Görünüşe göre bilgisayar korsanları – bu örnekte, kanıtlar Rusya’nın istihbarat teşkilatlarına işaret ediyor – intikamlarını alıyor olabilirler.

FireEye Salı günü yaptığı açıklamada, kendi sistemlerinin “üst düzey saldırı yeteneklerine sahip bir ülke” olarak adlandırdığı bir sistem tarafından delindiğini açıkladı. Şirket, bilgisayar korsanlarının dünya çapında yeni saldırılar düzenlemede faydalı olabilecek kendi araç kitiyle başa çıkmak için “yeni teknikler” kullandığını söyledi.

Bu, yerel kasaları temizledikten sonra geri dönen ve F. B. I.’nin araştırma araçlarını çalan banka soyguncularına benzeyen çarpıcı bir hırsızlıktı. Hatta FireEye Salı günü borsa kapandıktan birkaç dakika sonra F.B.I.

3 Dolar. Müşterileri arasında Sony ve Equifax’ın da yer aldığı dünyanın en cesur ihlallerinden bazılarında suçluları tespit ederek kısmen geçimini sağlayan 5 milyar şirket, kimin sorumlu olduğunu açıkça söylemeyi reddetti. Ancak açıklaması ve F. B. I.’nin davayı Rusya’daki uzmanlarına devretmesi, baş şüphelilerin kim olduğu ve şirketin “Kırmızı Takım araçları” dediği şeyin peşinde oldukları konusunda çok az şüphe bıraktı. ”

Bunlar, aslında dünyadaki en gelişmiş bilgisayar korsanlığı araçlarını kopyalayan dijital araçlardır. FireEye, bir müşteri şirketin veya devlet kurumunun izniyle, sistemlerindeki güvenlik açıklarını aramak için araçları kullanır. Araçların çoğu, FireEye’ın yakından koruduğu dijital bir kasaya dayanıyor.

Saldırı, Rus istihbarat teşkilatlarının saldırıyı artırmada bir avantaj görmesi olasılığını artırırken, Amerikan dikkati – FireEye’ınki dahil – cumhurbaşkanlığı seçim sistemini güvence altına almaya odaklandı. Ülkenin kamu ve özel istihbarat sistemlerinin seçmen kayıt sistemleri veya oylama makineleri ihlalleri aradığı bir anda, 2016 seçim ihlallerine karışan Rus ajanslarının dikkatlerini şuna çevirmeleri iyi bir zaman olabilirdi diğer hedefler.

Saldırı, Ulusal Güvenlik Teşkilatı’nın 2016’da kendisine ShadowBrokers adını veren henüz tanımlanmamış bir grup tarafından çalındığından beri bilinen en büyük siber güvenlik araçlarının çalınmasıydı. Bu grup, N. S.A.’nın bilgisayar korsanlığı araçlarını birkaç ay içinde internete atarak ulus devletlere ve bilgisayar korsanlarına eski bir N. S.A. operatörünün söylediği gibi “dijital krallığın anahtarlarını” verdi. Kuzey Kore ve Rusya nihayetinde N. S.A.’nın çalınan silahlarını devlet kurumlarına, hastanelere ve dünyanın en büyük holdinglerine yönelik yıkıcı saldırılarda kullandı – 10 milyar dolardan fazla bir maliyetle.

ABD hükümeti amaca yönelik dijital silahlar ürettiğinden, N. S.A.’nin araçları büyük olasılıkla FireEye’dan daha kullanışlıydı. FireEye’ın Red Team araçları, esasen şirketin geniş bir saldırı yelpazesinde kullanıldığını gördüğü kötü amaçlı yazılımlardan oluşturulmuştur.

Yine de, çalınan silah kullanmanın avantajı, ulus devletlerin saldırıları başlattıklarında kendi izlerini gizleyebilmeleridir.

Şu anda bir yazılım şirketi olan Jamf’te baş güvenlik araştırmacısı olan eski bir N. S. A. hacker’ı olan Patrick Wardle, “Bilgisayar korsanları, riskli, yüksek profilli hedefleri makul bir inkarla kesmek için FireEye’ın araçlarından yararlanabilirler” dedi. “Riskli ortamlarda, en iyi araçlarınızı yakmak istemezsiniz, bu nedenle bu, gelişmiş rakiplere, en iyi yeteneklerini kullanmadan başka birinin araçlarını kullanmanın bir yolunu sunar. ”

Çin devletinin sponsorluğundaki bir bilgisayar korsanlığı grubu, daha önce, N. S.A.’nın araçlarını kendi sistemlerinde keşfettikten sonra, dünyanın dört bir yanındaki saldırılarda N. S.A.’nın bilgisayar korsanlığı araçlarını kullanırken yakalanmıştı. Bay Wardle, “Hiç mantıklı değil,” dedi.

İhlalin FireEye için siyah göz olması muhtemel. Müfettişleri, şirketin daha sonra Kuzey Kore’ye atfettiği yıkıcı 2014 saldırısından sonra Sony ile çalıştı. 2015 yılında Dışişleri Bakanlığı ve diğer Amerikan devlet kurumları Rus bilgisayar korsanları tarafından ihlal edildikten sonra çağrılan FireEye idi. Ve başlıca kurumsal müşterileri arasında, üç yıl önce hacklenen kredi izleme hizmeti olan Equifax, neredeyse yarısını etkileyen bir ihlaldir. Amerikan nüfusunun.

FireEye saldırısında, bilgisayar korsanları görülmemek için olağanüstü uzunluklara gitti. Birçoğu Amerika Birleşik Devletleri’nde, daha önce saldırılarda hiç kullanılmamış binlerce internet protokol adresi oluşturdular. Saldırılarını düzenlemek için bu adresleri kullanarak, bilgisayar korsanlarının bulundukları yeri daha iyi gizlemelerine olanak sağladı.

FireEye’ın CEO’su Kevin Mandia, “Bu saldırı, yıllar boyunca yanıtladığımız on binlerce olaydan farklı” dedi. (FireEye’nin 2014 yılında satın aldığı Mandiant firmasının kurucusuydu.)

Ancak FireEye, bilgisayar korsanlarının en korumalı sistemlerini tam olarak nasıl ihlal ettiğini hala araştırdığını söyledi. Detaylar inceydi.

Bay. Eski bir Hava Kuvvetleri istihbarat subayı olan Mandia, saldırganların “birinci sınıf yeteneklerini özellikle FireEye’ı hedef almak ve ona saldırmak için uyarladıklarını söyledi. “Operasyonel güvenlik” konusunda son derece eğitimli göründüklerini ve “disiplin ve odaklanma” sergilerken, güvenlik araçlarının ve adli muayenenin tespitinden kaçmak için gizlice hareket ettiklerini söyledi. Google, Microsoft ve siber güvenlik araştırmaları yapan diğer firmalar, bu tekniklerden bazılarını hiç görmediklerini söylediler.

FireEye ayrıca, dünyanın dört bir yanındaki diğer kişilerin saldırıların geldiğini görebilmesi için “Kırmızı Takım” araçlarının temel unsurlarını yayınladı.

Amerikalı müfettişler, saldırının, N. S.A.’nın Pazartesi günü yayınlanan bir uyarıda Rusya’nın geride olduğunu söylediği başka bir karmaşık operasyonla herhangi bir ilişkisi olup olmadığını belirlemeye çalışıyorlar. Bu, savunma şirketleri ve üreticileri tarafından yaygın olarak kullanılan, sanal makineler için VM adı verilen bir tür yazılıma girer. N. S. A. bu saldırının hedeflerinin ne olduğunu söylemeyi reddetti. Rusların bu ihlaldeki başarısını FireEye’ın sistemlerine girmek için kullanıp kullanmadıkları belli değil.

FireEye’a yapılan saldırı bir çeşit misilleme olabilir. Şirketin müfettişleri, Rusya askeri istihbarat birimlerini (G. R. U., S.V.R. ve Sovyet dönemi K. G. B.’nin halefi olan F. S. B.) Ukrayna’daki elektrik şebekesi ve Amerikan belediyelerindeki yüksek profilli hackler için defalarca çağırdı. Aynı zamanda, bir patlamayı tetiklemeden önceki son adım olan Suudi petrokimya tesisinde endüstriyel güvenlik kilitlerini başarıyla söken bir saldırının arkasındaki Rus hackerları ilk arayan onlardı.

Güvenlik firmaları, kısmen, araçlarının dünyanın her yerindeki kurumsal ve devlet müşterilerine derin bir erişim düzeyini koruduğu için, ulus devletler ve bilgisayar korsanları için sık sık hedef olmuştur. Casuslar ve bilgisayar korsanları, bu araçlara girerek ve kaynak kodunu çalarak kurbanların sistemlerine ayak basabilir.

McAfee, Symantec ve Trend Micro, geçen yıl Rusça konuşan bir hacker grubunun kodlarını çaldığını iddia ettiği büyük güvenlik şirketleri listesinde yer alıyordu. Rus güvenlik şirketi Kaspersky, 2017 yılında İsrailli bilgisayar korsanları tarafından saldırıya uğradı. 2012’de Symantec, antivirüs kaynak kodunun bir bölümünün bilgisayar korsanları tarafından çalındığını doğruladı.

David E. Sanger, Washington’dan ve San Francisco’dan Nicole Perlroth’tan haber yaptı.