FireEye piraté : la boîte à outils de la Red Team exfiltrée

De simples scripts, mais aussi des frameworks similaires à Metasploit ou Cobalt Strike. C’est ce qu’il y a – entre autres – dans la boîte à outils de la Red Team FireEye.

Voilà une quinzaine d’années que l’éditeur américain a constitué cette équipe interne. Sa fonction : mettre à l’épreuve la sécurité informatique des clients en simulant des attaques grâce auxdits outils.

FireEye en a publié certains, accessibles en particulier dans la distribution CommandoVM. Mais désormais, il craint que tout soit déballé. La raison : des pirates y ont eu accès dans le cadre d’une attaque survenue « récemment ».

Un communiqué du 8 décembre apporte des précisions. Il y est question d’une « combinaison de techniques jamais vue » chez FireEye et ses partenaires. Et de la probable implication d’un État-nation.

L’éditeur affirme ne pas avoir constaté de tentative d’exploitation de ses outils à des fins malveillantes. En prévision, il a toutefois publié une série de contre-mesures. Elles prennent la forme de règles Snort, Yara, ClamAV et HXIOC.

S’y adjoint une liste de 16 vulnérabilités – notées de 6,5 à 10 sur l’échelle CVSS – sur lesquelles s’appuie la Red Team. Une bonne partie ouvrent la voie à l’exécution de code à distance. Via SharePoint, Adobe ColdFusion, Atlassian Crowd ou encore Citrix Gateway.

Les pirates ont-ils pu accéder à d’autres informations ? FireEye assure que non… en tout cas pour ce qui concerne les « systèmes de stockage primaire hébergeant les données des clients ».

Photo d’illustration © Rawpixel.com – Adobe Stock