FireEye est en première ligne pour défendre les entreprises et les infrastructures critiques du monde entier contre les cyber-menaces. Nous sommes les témoins directs de la menace croissante et nous savons que les cybermenaces sont en constante évolution. Récemment, nous avons été attaqués par un acteur de la menace très sophistiqué, dont la discipline, la sécurité opérationnelle et les techniques nous font croire qu’il s’agit d’une attaque parrainée par l’État. Notre priorité numéro un est de travailler à renforcer la sécurité de nos clients et de la communauté au sens large. Nous espérons qu’en partageant les détails de notre enquête, la communauté entière sera mieux équipée pour combattre et vaincre les cyber-attaques.

Sur la base de mes 25 années d’expérience dans le domaine de la cybersécurité et de la réaction aux incidents, j’ai conclu que nous sommes témoins d’une attaque par une nation dotée de capacités offensives de premier plan. Cette attaque est différente des dizaines de milliers d’incidents auxquels nous avons répondu au fil des ans. Les attaquants ont adapté leurs capacités de classe mondiale spécifiquement pour cibler et attaquer FireEye. Ils sont hautement qualifiés en matière de sécurité opérationnelle et sont exécutés avec discipline et concentration. Ils ont opéré clandestinement, en utilisant des méthodes qui vont à l’encontre des outils de sécurité et de l’examen médico-légal. Ils ont utilisé une nouvelle combinaison de techniques dont ni nous ni nos partenaires n’avons été témoins par le passé.

Nous menons une enquête active en coordination avec le Federal Bureau of Investigation et d’autres partenaires clés, dont Microsoft. Leur analyse initiale soutient notre conclusion selon laquelle il s’agit du travail d’un agresseur hautement sophistiqué parrainé par l’État qui utilise des techniques nouvelles.

Au cours de notre enquête à ce jour, nous avons découvert que l’agresseur a ciblé et accédé à certains outils d’évaluation de la Red Team que nous utilisons pour tester la sécurité de nos clients. Ces outils imitent le comportement de nombreux acteurs de la cybermenace et permettent à FireEye de fournir des services de diagnostic de sécurité essentiels à nos clients. Aucun de ces outils ne contient d’exploits de type « zero-day ». Conformément à notre objectif de protection de la communauté, nous publions de manière proactive des méthodes et des moyens pour détecter l’utilisation de nos outils Red Team volés.

Nous ne sommes pas sûrs que l’attaquant ait l’intention d’utiliser nos outils Red Team ou de les divulguer publiquement. Néanmoins, par excès de prudence, nous avons mis au point plus de 300 contre-mesures à l’intention de nos clients et de la communauté dans son ensemble, afin de minimiser l’impact potentiel du vol de ces outils.

À ce jour, nous n’avons trouvé aucune preuve qu’un agresseur ait utilisé les outils volés de la Red Team. Nous, ainsi que d’autres membres de la communauté de la sécurité, continuerons à surveiller toute activité de ce type. Pour l’instant, nous voulons nous assurer que l’ensemble de la communauté de la sécurité est à la fois consciente et protégée contre toute tentative d’utilisation de ces outils de l’Équipe rouge. Plus précisément, voici ce que nous faisons :

Nous avons préparé des contre-mesures qui peuvent détecter ou bloquer l’utilisation de nos outils Red Team volés.

Nous avons mis en place des contre-mesures dans nos produits de sécurité.

Nous partageons ces contre-mesures avec nos collègues de la communauté de la sécurité afin qu’ils puissent mettre à jour leurs outils de sécurité.

Nous rendons ces contre-mesures accessibles au public dans notre blog, « Accès non autorisé aux outils de l’Équipe rouge FireEye ».

Nous continuerons à partager et à affiner toute mesure d’atténuation supplémentaire pour les outils de l’Équipe rouge à mesure qu’ils seront disponibles, à la fois publiquement et directement avec nos partenaires de sécurité.

Conformément à l’effort de cyber-espionnage d’un État-nation, l’attaquant a principalement cherché des informations liées à certains clients gouvernementaux. Bien que l’attaquant ait pu accéder à certains de nos systèmes internes, à ce stade de notre enquête, nous n’avons trouvé aucune preuve que l’attaquant ait exfiltré des données de nos systèmes primaires qui stockent des informations sur les clients de nos interventions en cas d’incident ou de nos missions de conseil, ou les métadonnées collectées par nos produits dans nos systèmes de renseignement dynamique sur les menaces. Si nous découvrons que des informations sur les clients ont été prises, nous les contacterons directement.

Depuis de nombreuses années, nous avons identifié, catalogué et rendu publiques les activités de nombreux groupes de menace persistante avancée (APT), ce qui permet à la communauté de la sécurité au sens large de détecter et de bloquer les menaces nouvelles et émergentes.

Chaque jour, nous innovons et nous nous adaptons pour protéger nos clients contre les acteurs de la menace qui jouent en dehors des limites légales et éthiques de la société. Cet événement n’est pas différent. Nous avons confiance dans l’efficacité de nos produits et des processus que nous utilisons pour les perfectionner. Nous avons appris et continuons à apprendre davantage sur nos adversaires à la suite de cette attaque, et la communauté de la sécurité sortira de cet incident mieux protégée. Nous ne serons jamais dissuadés de faire ce qui est juste.

