L’attacco informatico contro FireEye

FireEye, una società di sicurezza informatica molto nota, ha detto di essere stata vittima di un attacco informatico, e che l’attacco è stato così grave e sofisticato che soltanto «una nazione con capacità offensive di primo livello» può averlo messo in pratica. Gli hacker hanno rubato alcuni programmi informatici usati da FireEye per testare le difese dei suoi clienti, che simulano gli strumenti di attacco hacker più usati e quindi potrebbero essere utilizzati per nuovi attacchi.

Non è ancora chiaro chi ci sia dietro all’attacco ma secondo il New York Times, che ha sentito diversi esperti, molti indizi fanno pensare che potrebbe essere stata la Russia. Tra questi indizi c’è il fatto che l’FBI ha aperto un’indagine e ha affidato il caso ai suoi specialisti di attacchi informatici russi.

FireEye è un’azienda molto nota nel settore della sicurezza informatica. Fondata nel 2004, ha due attività principali: la prima è analizzare i sistemi di sicurezza informatica dei suoi clienti, per verificarne la solidità; la seconda, e la più celebre, è fare indagini sugli attacchi hacker già avvenuti, per rivelarne gli esecutori ed evitare che si ripetano. Grazie alla sua esperienza sul campo, FireEye ha lavorato con moltissime aziende che negli anni sono stati vittime di attacchi hacker molto pesanti, come Sony, Equifax, Deloitte, Target. In molti casi, FireEye ha avuto un ruolo nel rivelare l’identità e la provenienza degli hacker.

– Leggi anche: Il 17enne che ha hackerato Twitter

L’azienda inoltre si è occupata di molti casi di attacchi hacker di grande rilevanza internazionale, pubblicando ricerche e indagini sui gruppi di spionaggio informatico più pericolosi e importanti, come APT28, noto anche come Fancy Bear, un gruppo di hacker che, secondo i ricercatori, è legato all’intelligence russa e che è dietro a moltissimi attacchi noti e distruttivi, tra cui quelli avvenuti negli Stati Uniti durante la campagna elettorale del 2016 ai danni del Partito Democratico e di Hillary Clinton.

Per questo, ha scritto il New York Times, l’attacco hacker a FireEye può essere paragonato a una rapina contro l’FBI: i criminali hanno colpito gli investigatori. Gli hacker, secondo l’azienda, hanno rubato gli strumenti del «Red Team», cioè programmi informatici che replicano e simulano i più sofisticati programmi hacker del mondo. Questi strumenti servono a FireEye per testare la solidità delle difese dei suoi clienti, ma anche se sono semplicemente copie di programmi hacker già noti possono essere usati per condurre nuovi attacchi. Anzitutto perché la collezione di FireEye è piuttosto completa: ponendo che l’attacco sia opera di hacker russi, può essere utile per loro prendere possesso di strumenti usati per esempio dagli hacker nordcoreani. In secondo luogo perché usare uno strumento hacker rubato è un ottimo modo per far perdere le proprie tracce. Aziende come FireEye, infatti, spesso riconoscono gli autori di un attacco dalle sue caratteristiche tecniche. Ma se gli hacker utilizzano uno strumento rubato e creato da altri, individuarli diventa più difficile.

La pericolosità degli strumenti hacker rubati si è vista nel 2016, quando la National Security Agency americana (NSA) fu vittima di un attacco informatico da parte di un gruppo ancora oggi non identificato e chiamato ShadowBrokers, che rubò tutto l’arsenale di strumenti di hackeraggio della più sofisticata agenzia governativa del mondo, e lo diffuse su internet. Tutti sapevano che quegli strumenti erano disponibili, ma un po’ perché erano molto potenti e un po’ perché è difficile organizzare difese informatiche su larga scala, alla fine furono usati da hacker russi e nordcoreani per colpire agenzie governative, aziende e ospedali: si stima che negli Stati Uniti abbiano provocato danni per 10 miliardi di dollari. Gli strumenti rubati a FireEye non saranno sofisticati come quelli rubati alla NSA, ma potrebbero creare comunque gravi problemi.

– Leggi anche: Le ultime sull’attacco a hacking team

FireEye conservava gli strumenti del suo «Red Team» con molta cura. Ma secondo l’azienda quest’attacco hacker è stato eccezionalmente sofisticato, «diverso dalle decine di migliaia a cui abbiamo fatto fronte nel corso degli anni», ha scritto Kevin Mandia, l’amministratore delegato dell’azienda, in una comunicazione ufficiale. Secondo Mandia, gli hacker hanno «adattato le loro capacità di valore mondiale specificamente per attaccare FireEye», e hanno usato «una nuova combinazione di tecniche mai vista prima né da noi né dai nostri partner». Mandia ha scritto però che tra gli strumenti rubati non ce n’è nessuno che sfrutta delle «vulnerabilità zero-day», cioè delle vulnerabilità ancora sconosciute, molto temibili perché nessuno ha avuto il tempo («zero-day», appunto) di trovare delle contromisure. Ha aggiunto che l’azienda aveva preparato dei sistemi di prevenzione e sicurezza in caso di furto dei suoi strumenti, che dovrebbero almeno in parte attutire le conseguenze dell’attacco.

Non ci sono prove, per ora, che gli hacker abbiano rubato dati dei clienti, potenzialmente di valore, e secondo i media americani da indizi come questo si deduce che un’altra ragione possibile dell’attacco contro FireEye potrebbe essere la vendetta. Come dicevamo, l’azienda ha avuto un ruolo importante nell’identificare gli autori di molti celebri attacchi hacker, e ha pubblicizzato molto la sua attività di ricerca, soprattutto contro i gruppi russi sponsorizzati dal governo. È possibile, scrive il New York Times, che questi gruppi abbiano deciso di attaccare FireEye per danneggiarla più che per trarne un vantaggio.