Se trata del mayor robo de herramientas de ciberseguridad desde el ataque contra la Agencia de Seguridad Nacional de EEUU en 2016 por un grupo aún no identificado. Aunque la compañía de Silicon Valley no dijo quién fue el responsable, las investigaciones apuntan a Rusia.
El logo de FireEye fuera de las oficinas de la compañía en Milpitas, California.
La compañía de ciberseguridad de Silicon Valley FireEye reveló el martes que sus sistemas habían sido hackeados por lo que definió como “una nación con capacidades ofensivas de primer nivel”. De acuerdo con un artículo del New York Times, la compañía dijo que los piratas informáticos -presumiblemente rusos- utilizaron “técnicas novedosas” para crear su propio “juego de herramientas”, que podría ser un método útil para montar nuevos ataques en todo el mundo.
Medios internacionales calificaron el ciberataque de “impresionante” y afirmaron que podría tratarse de una venganza contra FireEye: durante años, la firma era el primer lugar al que acudían tanto agencias gubernamentales como empresas de todo el mundo que habían sufrido los más sofisticados ataques hackers.
En efecto, la compañía, valuada en 3.500 millones de dólares, se dedica en parte a identificar a los culpables de algunos de los robos de información más audaces del mundo (entre sus clientes se encuentran Sony y Equifax).
En su revelación del día martes sobre el ataque, FireEye se negó a decir explícitamente quién era el responsable. Pero su descripción y el hecho de que el FBI haya entregado el caso a sus especialistas en Rusia dejan pocas dudas sobre quiénes son los principales sospechosos.
La investigación del hackeo contra FireEye apunta a Rusia.
De acuerdo con los datos de la investigación revelados por The New York Times, los piratas informáticos buscaban lo que la empresa llamó “herramientas del Equipo Rojo”. Se trata esencialmente de herramientas digitales que reproducen las herramientas de piratería más sofisticadas del mundo.
FireEye utiliza esas herramientas con el permiso de una empresa cliente o agencia gubernamental, para buscar vulnerabilidades en sus sistemas. La mayoría de ellas se basan en una bóveda digital que la compañía protege de cerca.
La filtración plantea la posibilidad de que las agencias de inteligencia rusas hayan aprovechado que la atención estadounidense, incluida la de FireEye, estaba centrada en proteger el sistema de elecciones presidenciales en Estados Unidos.
En un momento en el que los sistemas de inteligencia públicos y privados de la nación buscaban violaciones de los sistemas de registro de votantes o de las máquinas de votación, se presentó un buen momento para que las agencias rusas, que estuvieron involucradas en las injerencias de las elecciones de 2016, se enfoquen en otros objetivos.
El hackeo fue el mayor robo de herramientas de ciberseguridad desde que las de la Agencia de Seguridad Nacional fueron robadas en 2016 por un grupo aún no identificado que se hace llamar ShadowBrokers. Ese grupo publicó dichas herramientas de la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés) online durante varios meses, entregando así a los estados-nación y a los piratas informáticos las “llaves del reino digital”, como fue definido alguna vez.
Corea del Norte y Rusia finalmente utilizaron el armamento robado de la NSA en ataques contra agencias gubernamentales, hospitales y los conglomerados más grandes del mundo, por un costo de más de 10 mil millones de dólares.
Según medios estadounidenses, es probable que las herramientas de la NSA fueran más útiles que las de FireEye, ya que el gobierno de los Estados Unidos construye armas digitales especialmente diseñadas para eso, mientras que las herramientas del Red Team de FireEye se construyen esencialmente a partir de malware que la empresa ha visto utilizado en una amplia gama de ataques.
De cualquier modo, la ventaja de usar herramientas robadas es que los estados pueden ocultar sus propias huellas cuando lanzan ataques.
“Los piratas informáticos podrían aprovechar las herramientas de FireEye para piratear objetivos riesgosos y de alto perfil con un margen para negar cualquier tipo de responsabilidad”, dijo Patrick Wardle, ex hacker de la NSA que ahora es investigador principal de seguridad en una empresa de software al NYT.
El ataque contra FireEye posiblemente signifique una marca negativa para la compañía. Los piratas informáticos hicieron todo lo posible para evitar ser vistos, y para ello crearon varios miles de direcciones de protocolo de Internet que nunca antes se habían utilizado en ataques -muchas de ellas en Estados Unidos-.
“Este ataque es diferente de las decenas de miles de incidentes a los que hemos respondido a lo largo de los años”, manifestó Kevin Mandia, director ejecutivo de FireEye.
Mandia, un ex oficial de inteligencia de la Fuerza Aérea, dijo que los atacantes “adaptaron sus capacidades globales específicamente para apuntar y atacar a FireEye, y agregó que parecían estar altamente capacitados en “seguridad operativa” y exhibieron “disciplina y concentración”, mientras se movían clandestinamente para escapar de la detección de las herramientas de seguridad.
Google, Microsoft y otras firmas que realizan investigaciones de ciberseguridad dijeron que nunca habían visto algunas de estas técnicas.