فایرآی: ما هک شدیم

برای سال‌ها، شرکت امنیتی فایرآی (FireEye) اولین مرجع سازمان‌هایی بود که هدف حملات سایبری فوق‌پیچیده و هکرهای حرفه‌ای قرار گرفته بودند.

حالا به نظر می‌رسد هکرها انتقام خود را از این شرکت آمریکایی که کالبدشکافی موفق بسیاری از تهدیدات پیشرفته و ماندگار (APT) را در کارنامه دارد گرفته‌اند.

به گزارش شرکت مهندسی شبکه گستر، 18 آذر، فایرآی رسماً اعلام کرد که سیستم‌هایش در جریان حمله‌ای بسیار پیچیده، با حمایت یک دولت مورد رخنه قرار گرفته است.

به گفته فایرآی، مهاجمان این حمله با بکارگیری تکنیک‌های جدید موفق به سرقت ابزارهایی دیجیتال شده‌اند که این شرکت از آنها با عنوان Red Team یاد می‌کند.

فایرآی از ابزارهای Red Team به‌منظور شناسایی آسیب‌پذیری سیستم‌ها در شبکه مشتریان خود استفاده می‌کرده است. گفته می‌شود که از این ابزارها به‌شدت مراقبت می‌شده است.

اکنون بیم آن می‌رود که ابزارهای Red Team جایگزین ابزارهای نفوذی شوند که به‌طور معمول مورد استفاده مهاجمان در نقاط مختلف جهان قرار می‌گیرند.

به گزارش شرکت مهندسی شبکه گستر، این شرکت 3.5 میلیارد دلاری، بخشی از درآمد خود را از راه شناسایی هکرهای دخیل در شاخص‌ترین نفوذهای سایبری جهان کسب می‌کرده است.

برخی منابع این هک را پس از افشای ابزارهای سایبری NSA توسط گروه ShadowBrokers بزرگ‌ترین سرقت ابزارهای امنیت سایبری تاریخ می‌دانند. در سال 2016 گروه ShadowBrokers که همچنان هویت گردانندگان آن نامشخص است ظرف چند ماه تعداد قابل توجهی از ابزارهای مورد استفاده NSA را در دسترس مهاجان دیگر قرار داد. در نهایت گروه‌های مختلف نفوذگری با بکارگیری ابزارهای مذکور اقدام به اجرای حملات مخرب به سازمان‌ها و شرکت‌های بزرگ در کشورهای مختلف کردند. برآورد می‌شود که خسارت ناشی از این حملات بیش از 10 میلیارد دلار باشد.

مهاجمان حمله اخیر از چندین هزار نشانی IP که پیش‌تر در هیچ حمله‌ای مورد استفاده قرار نگرفته بودند بهره برده‌اند.

مدیر عامل فایرآی گفته این حمله متفاوت از ده‌ها هزار رخدادی است که این شرکت در این سال‌ها به آنها رسیدگی کرده است.

فایرآی همچنان در حال یافتن پاسخ این پرسش است که چگونه هکرها موفق به رخنه به سیستم‌هایی شده‌اند که بیشترین مراقبت‌ها از آنها می‌شده است.

این شرکت انباره‌ای از قواعد Yara و Snort را منتشر کرده تا سایرین آمادگی مقابله با حملات احتمالی مبتنی بر ابزارهای سرقت شده Red Team را داشته باشند. انباره مذکور در لینک زیر قابل دریافت است:

http://github.com/fireeye/red_team_tool_countermeasures

اگر چه فایرآی به‌طور روشن به کشور یا ملیت گردانندگان این حمله اشاره نکرده اما روزنامه نیویورک تایمز خبر داده که FBI پرونده این رخداد را به متخصصان خود در حوزه روسیه ارجاع داده است.

مشخص نیست که هشدار اخیر NSA در خصوص بهره‌جویی مهاجمان از یک آسیب‌پذیری امنیتی در بعضی محصولات شرکت وی‌ام‌ور (VMware) با این حمله مرتبط بوده است یا خیر.

شرکت‌های امنیتی همواره از اهداف خاص و مورد علاقه هکرهای سایبری بوده‌اند. در سال 2012 سیمانتک (Symantec) تایید کرد که بخشی از کد منبع (Source Code) ضدویروس این شرکت توسط هکرها سرقت شده است. سیمانتک در سال 2019 نیز اعتراف کرد که اطلاعات مرتبط با برخی از مشتریانش نشت کرده است. در سال میلادی گذشته شرکت ترند مایکرو (Trend Micro) هم سرقت بخشی از اطلاعاتش را پذیرفت. شرکت روسی کسپرسکی (Kaspersky) نیز در سال‌های اخیر حداقل در دو نوبت توسط مهاجمان هک شده است.