FireEye, una de las mayores compañías de ciberseguridad, sufre ataque y robo de herramientas

FireEye, una de las empresas de ciberseguridad de mayor importancia en Estados Unidos y el mundo, ha confirmado que ha sido víctima de un ataque, del que sospechan que hay un país detrás, en el que los atacantes han sustraído las herramientas internas que emplean para realizar pruebas de penetración en otras compañías.

Así lo ha asegurado su CEO, Kevin Mantia, en un post en el que asegura que «hace poco fuimos atacados por un actor que empleaba métodos muy sofisticados, tanto que su disciplina, seguridad operativa y técnicas nos hace pensar que se ha tratado de un ataque patrocinado por un país. Este ataque es distinto de las decenas de miles de incidentes a los que hemos respondido a lo largo de los años«. Mandia cree que se trata de un ataque de un país con capacidades ofensivas de primer nivel.

Se desconoce cuándo se ha producido el ataque a FireEye, que cuenta con diversos clientes relacionados con la seguridad nacional tanto en Estados Unidos como en otros países. Después de la publicación del incidente, de hecho, la CISA (Agencia de seguridad de ciberseguridad e infraestructura) de Estados Unidos ha publicado un boletín en el que se aconseja a los especialistas en seguridad a ponerse al día sobre el incidente.

Eso sí, desde FireEye aseguran que ninguna de las herramientas robadas incluye exploits de tipo «zero day», es decir, de una vulnerabilidad que no cuenta todavía con solución. Además, tampoco hay evidencias que sugieran que las herramientas sustraídas se han utilizado, ni de que quien quiera que haya estado detrás del ataque haya logrado hacerse con datos de clientes.

No obstante, para asegurarse, FireEye ha compartido varias contramedidas que pueden ayudar a detectar o bloquear el uso de sus herramientas robadas. Además, ya trabajan con Microsoft y con el FBI para investigar lo sucedido. Eso sí, no están seguros de si los atacantes tienen intención de utilizar las herramientas sustraídas, que forman parte del paquete Red Team, o de hacerlas públicas.

No se sabe con total seguridad quién está después del ataque, aunque según apuntan desde el Washington Post, se cree que es obra de un grupo de hackers conocido como APT29 o Cozy Bear, al que comunmente se le relaciona con el Servicio de inteligencia extranjera de Rusia. Es el mismo grupo que hackeó los servidores del Comité nacional demócrata antes de las elecciones presidenciales de 2016.