La société américaine FireEye, leader mondial en cybersécurité, a été victime d'une intrusion menée par un "acteur de menace hautement sophistiqué". L'entreprise a confirmé le vol de plusieurs de ses outils offensifs Red Team, que les attaquants pourraient potentiellement réutiliser dans des opérations malveillantes.
Les entreprises de cybersécurité de premier plan comme FireEye sont des cibles prioritaires pour les groupes de hackers, en raison de leurs liens étroits avec les gouvernements et agences internationales.
Les détails techniques de l'incident restent limités. Un acteur de menace présumé soutenu par un État-nation a accédé aux systèmes de FireEye via "une nouvelle combinaison de techniques" distincte des attaques précédentes observées par l'entreprise.
Le PDG de FireEye, Kevin Mandia, a détaillé l'attaque dans un billet de blog officiel.
Réemment, nous avons été attaqués par un acteur hautement sophistiqué, dont la discipline, la sécurité opérationnelle et les techniques nous portent à croire qu'il s'agissait d'une attaque parrainée par l'État. Notre priorité numéro un est de renforcer la sécurité de nos clients et de la communauté au sens large. Nous espérons qu'en partageant les détails de notre enquête, toute la communauté sera mieux équipée pour combattre et vaincre les cyberattaques.
Les attaquants ont dérobé certains outils Red Team de FireEye. En cybersécurité, une "équipe rouge" simule des attaques offensives pour tester les défenses, tandis qu'une "équipe bleue" se charge de la protection.
Ces outils imitent le comportement de nombreux acteurs de cybermenaces et permettent à FireEye de fournir des services de diagnostic de sécurité essentiels à nos clients. Aucun des outils ne contient d'exploits zero-day. Conformément à notre objectif de protéger la communauté, nous publions de manière proactive des méthodes et des moyens pour détecter l'utilisation de nos outils Red Team volés.
FireEye n'a pas précisé quels outils ont été compromis, mais l'entreprise a développé plus de 300 contre-mesures pour aider clients et communauté à minimiser les risques.
Selon FireEye, un acteur de menace soutenu par un État-nation est à l'origine de l'attaque. Seules des équipes dotées de ressources gouvernementales peuvent orchestrer une telle opération.
Les attaquants ont visé des informations sur les clients gouvernementaux de FireEye, renforçant l'hypothèse d'une motivation géopolitique. Bien que des données sensibles aient été ciblées, aucune exfiltration de données des systèmes principaux n'a été détectée.
En résumé, les outils Red Team ont été volés, mais les données confidentielles de FireEye demeurent sécurisées.
Cette affaire suscite un vif intérêt : les outils volés pourraient faciliter des attaques futures, mais leurs usages futurs relèvent pour l'instant de la spéculation.
