Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Beveiligingsbedrijf FireEye meldt diefstal van zijn hacktools door staatshackers

Het Amerikaanse beveiligingsbedrijf FireEye is getroffen door hackers met banden met een natiestaat. Daarbij zijn programma's en scripts gestolen die het bedrijf gebruikt om aanvallen te simuleren en de defensie van klanten te testen.

Bij de aanval op FireEye hebben geavanceerde door een staat gesponsorde hackers de tools van het zogenoemde Red Team van het beveiligingsbedrijf gestolen. Het gaat hierbij volgens het bedrijf om aanvalstechnieken, variërend van scripts om gaten in de verdediging van bedrijfsnetwerken te vinden tot gehele frameworks, vergelijkbaar met publiekelijk beschikbare pentestingsuites als Cobalt Strike en Metasploit.

FireEye meldt niet te weten of de aanvallers de tools zelf willen gebruiken of in de openbaarheid willen brengen. Er zouden in ieder geval nog geen aanwijzingen zijn dat de technieken ingezet zijn door derden. De tools zouden niet gebruikmaken van zero-day-exploits, methoden die misbruik maken van nog niet bekendgemaakte lekken. Ook zou FireEye zelf al een deel van de technieken eerder beschikbaar hebben gemaakt.

Om misbruik tegen te gaan, heeft FireEye naar eigen zeggen honderden tegenmaatregelen gepubliceerd. Deze heeft het bedrijf op een GitHub-pagina verzameld en FireEye belooft de lijst uit te breiden. Daarnaast heeft het tegenmaatregelen verstrekt aan klanten, partners en het Amerikaanse Department of Homeland Security. FireEye is een van 's werelds grootste beveiligingsbedrijven. Dit soort bedrijven ontwikkelt zelf aanvalstechnieken die Red Teams bij oefeningen in kunnen zetten tegen Blue Teams, die zich moeten verdedigen tegen de netwerkaanvallen.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Olaf van Miltenburg

Nieuwscoördinator

09-12-2020 • 07:41

83 Linkedin

Submitter: Grim

Reacties (83)

Wijzig sortering
Volgens de Washington Post is het uitgevoerd door hackers gelieerd aan de Russische SVR: https://www.washingtonpos...4-25dc9f4987e8_story.html . Specifiek zou het gaan om APT 29 / Cozy Bear.

Volgens hetzelfde artikel helpt Microsoft FireEye bij het onderzoek naar de hack.

Wired schrijft nog meer over eerdere interacties tussen FireEye en de SVR, https://www.wired.com/sto...tatement-not-catastrophe/ . En dat Rusland het misschien vooral te doen is om naming and shaming, omdat ze zelf ook al deze tools of technieken kennen.

[Reactie gewijzigd door erwn op 9 december 2020 08:37]

Toch leuk dat zelfs een beveiligingsbedrijf hun beveiliging niet op orde heeft, er zo maar iemand kan binnenwandelen en hun tools kan ontvreemden, maar ze wel direct kunnen aanduiden wie het gedaan heeft, ondanks het feit dat een hack wel meestal redelijk technisch is en er toch meestal meerdere proxy's gebruikt worden om de identiteit van de aanvaller te verbergen.

Straks schrijven ze nog welke kleur van trui de hacker aanhad terwijl hij de hack uitvoerde :-)

Ik zit ook wel in de wereld van de security heb ooit moeten (willen) terugtracen wie er een server van een klant heeft gehackt. Dat kostte heel wat tijd qua debuggen van de binaries, proberen contact te leggen met de vermoedelijke aanvaller, vertrouwen proberen te winnen en uiteindelijk de identiteit kunnen vaststellen. Ik begrijp dat sommige partijen meer resources hebben maar uiteindelijk zal je toch op een punt technisch vastlopen (bij een proxy via Iran zal Iran waarschijnlijk niet meewerken) en dan wordt het heel moeilijk om verdere conclusies te trekken.

Je kan niet zomaar uitgaan van ip's of de gebruikte taal in scripts. Leuk feitje: scripts die op de server van mijn klant geïnstalleerd waren, hadden allemaal Turkse commentaren. De aanval en de personen die het gedaan hadden, kwamen echter uit Italie en woonden in Italie.

Conclusie: zo snel met de vinger wijzen is op zijn minst een beetje vreemd, zeker als die vinger naar politiek wijst...

[Reactie gewijzigd door blinchik op 9 december 2020 10:30]

Een beveiligingsbedrijf is net als elk ander bedrijf afhankelijk van hun leveranciers als het op hun beveiliging aan komt.

Laten we zeggen dat ze (omdat Microsoft mee werkt aan het onderzoek) Windows gebruiken voor een aantal van hun systemen. Dan zijn ze afhankelijk van Microsoft voor hun beveiliging natuurlijk kunnen ze nog zo hun best doen om alle lekken in Microsoft Windows te vinden maar als je 100 security professionals daar aan laat werken dan kan je er donder op tegen zeggen dat op een gegeven moment nummer 101 een zero day vind die jouw club heeft gemist. Dat komt omdat het zo'n enorm complex systeem is dat je zelfs met 100 mensen die er dagelijks aan werken als nog niet alle fouten zult kunnen vinden.
Als die nummer 101 dan toevallig ook voor een minder vriendelijke partij werkt dan kan je ook als beveiligingsbedrijf gehackt worden.

Nu ga ik er van uit dat dit beveiligingsbedrijf natuurlijk al hun systemen meteen van een patch voorziet en dat ze ook daadwerkelijk mensen met enige regelmaat hun systemen laten aanvallen om te zien of ze misschien iets gemist hebben en zo. Maar dan nog kun je er 100% zeker van zijn dat iemand anders ergens in de wereld een hack vind die zij (nog) niet kennen en waar Microsoft ook niet van op de hoogte is.

Een aanval als deze is waarschijnlijk niet iets dat je kunt doen met een klein budget. Denk aan een situatie waar een club een serie zero days gebruikt. Een beetje zero day is erg veel geld waard op de open markt, een hele serie dan praat je over heel erg veel geld, bedragen die een hacker met kwade bedoelingen nooit kan verdienen met een hack op FireEye. Alleen daarom al weet je redelijk zeker dat het een overheid is die hier achter zit. Daarnaast is de interesse in overheids diensten waar FireEye mee samen werkt ook iets dat wijst op een overheid die op zijn minst mee kijkt met de hackers als ze niet direct voor een overheid werken.
Dan is er het grote geluk van time zones en kantoortijden die veel al van 09:00 tot 17:00 lopen waar door je een idee krijgt waar in de wereld de hacker zich misschien zou begeven. Koppel er dan wat IP adressen aan en je komt al snel uit op een bepaald land. Omdat de staats hackers in ieder land bepaalde methodes er op na houden en bepaalde aanvallen verkiezen boven andere kun je ook daar aan afleiden welk land je aan moet denken. En binnen de kortste keren heb je een redelijk idee welke land je kunt verdenken. Dan kijk je eens wat de binaries allemaal te vertellen hebben wat bepaalde code structuren, namen van variabelen en ga zo maar door en voor je het weet kun je er redelijk zeker van zijn wie hier achter zit.

En laten we eerlijk wezen de drie grootste landen op het gebied van internationale digitale oorlogsvoering weten heus wel van elkaar welke clubs de vijand heeft opgezet, wie daar werken en hoe ze ongeveer te werk gaan.

Ik vind het al met al niet vreemd dat men naar APT 29 wijst het is een club die achter meer van dit soort hacks zit en die vaak met een redelijk duidelijk patroon werkt waardoor ze relatief snel aan te wijzen zijn als zijnde de geen die achter een bepaalde hack zitten.
Natuurlijk hadden ze hun best kunnen doen en het te doen lijken als of ze Chinezen zijn of Noord Koreanen waren maar waarom zouden ze? Er zijn andere groepen binnen het Russische leger die meer geheime missies uitvoeren deze groep APT 29 is meer een groep die in het oog mag springen zodat het de aandacht afleid van andere groepen die dingen doen die nu nog niet bekend mogen worden.
Dat met die vinger wijzen maakt voor mij ook niet uit. Het boeit niet door wie ze gehacked zijn rusland, china, of welk ander land dan ook. Ze zijn gehacked en daarmee geef je zelf je onkunde aan.

Lijkt me als een bedrijf dat jou beveiliging moet testen zelf gehacked word je je moet afvragen of dit wel de juiste partij is om jou bedrijf te testen en te beveiligen.
Hoezo onkunde? En probeer nu eens één IT bedrijf te vinden, die niet gehackt kan worden. Eentje maar, dat is genoeg om jouw gelijk aan te tonen dat het mogelijk is om wél kundig te zijn.

Niets is 100% veilig, dat bestaat gewoon niet. En bedrijven zoals FireEye staan volop in de schijnwerpers en worden daardoor aantrekkelijke doelwitten. Hun kennis en kunde zorgt er namelijk voor dat ze aantrekkelijke doelwitten zijn, daar is tenslotte iets te halen. Je kunt wel bij mij inbreken, maar de kans dat je bij mij bruikbare hacking scripts aantreft, is nihil...
Als security jou business is dan moet je dat gewoon zelf voor elkaar hebben. Als buitenstaanders dan tools kunnen downloaden zou je moeten verwachten dat er een monitoring systeem voor is. Het gaat hier over grote hoeveelheden data naar buiten.

Maar blijft als een bedrijf dat gehacked is jou moet adviseren hoe je het moet doen en ze dit dus zelf niet kunnen dat is er iets mis.

Banken zitten in het zelfde schuitje. daar is veiligheid van jou rekening ook prioriteit. Daar zitten dus ook dag en nacht mensen systemen in de gaten te houden en meteen ingrijpen bij hackpogingen die te diep gaan.
Nogmaals, noem jij eens één IT bedrijf waarvoor jij beide handen in het vuur steekt dat deze niet kunnen worden gehackt. Ik zou dit niet aandurven, er werken namelijk mensen bij die bedrijven en mensen maken fouten. En niet alleen dat, deze bedrijven gebruiken software en software is weer geschreven door mensen. En zoals gezegd, mensen maken fouten.

Uiteraard is het beroerd dat een IT security bedrijf is gehackt, en dit zal hen zeker klanten gaan kosten. Maar ik verwacht niet dat dit veel klanten zullen zijn, want waar zouden die klanten dan heen moeten gaan? Naar een ander bedrijf die ook wordt gehackt? What's the point?

Leuk dat je de banken als voorbeeld noemt, dat is toevallig mijn werkterrein. Geen enkele bank zal jou ooit de garantie geven dat ze nooit zullen worden gehackt. Ze zullen er alles aan doen om dat te voorkomen, maar garanderen dat het niet kan gebeuren, dat gaat gewoon niet. En om in te kunnen grijpen bij een hack, zul je deze wel moeten signaleren én correct moeten beoordelen. Eén lullig klein foutje nadat je het hebt gesignaleerd, en de hackers kunnen langdurig hun gang gaan. Je kunt 10 aanvallen signaleren, 100 stuks, 100.000 stuks of zelfs 100 miljoen stuks, zodra je er eentje mist, ben je de klos. Redelijke kans dat het vroeg of laat dus fout gaat. Eén van de dingen waar banken zich dan ook op richten, is de omvang van de schade. Dat je wordt gehackt, is één ding, de omvang van de hack is een ander ding. Wanneer de klantgegevens van 100 klanten worden gedownload, is dat heel vervelend, maar van 10 miljoen klanten is een heel ander verhaal.

Vergeet ook de belangrijkste medewerker van de organisatie niet, Murphy. Je hoeft hem geen salaris te betalen, dat scheelt, maar hij kan je wel heel veel geld gaan kosten. Er is zelfs een wet naar hem genoemd, de Wet van Murphy: If anything can go wrong, it will.
Dat niets 100% veilig is, is duidelijk. Maar noem eens een bank in NL, DE die gehacked is en waar bijv geld van rekeningen verdwenen is.

Maar zelf als je gehacked bent zouden er bij goede controle ook alarmbellen moeten afgaan. d.w.z als ze alles goed monitoren. Maar misschien is dat dus de zwakke schakel. Neemt niet weg dat het een blamage blijft.
Skimming van bankpassen is al heel lang een probleem en feitelijk ook een hack (op een bank).

Verder: https://www.rtlnieuws.nl/...jard-euro-stal-van-banken

Verder: Diebold-Nixdorf en NCR (die van de betaalautomaten) zijn ook meerdere keren succesvol getarget.

Dit laatste punt laat precies zien waarom ieder bedrijf zo zijn zwaktes heeft. Absolute beveiliging bestaat niet.
Nou klaar dan alle it'ers zijn onkundig en moeten hun salaris op zijn minst halveren.

Want geen enkel bedrijf is 100% veilig.

Allemaal onkunde dus dan mogen die vreemd hoge lonen bij al die ict'ers wel eens opnieuw gewaardeerd worden.

En ja ben zelf ook ict'er...
Zo werkt het dus niet maar je zal wel een ISec expert zijn. Zal je een headsup geven alle bedrijven zijn al eens gehackt het gaat er om hoe je je proces hebt ingericht en hoe je hier op reageert doormiddel van een SOC en een CERT te hebben ingericht.

[Reactie gewijzigd door Skywalker27 op 9 december 2020 14:19]

Ik haal anders niet uit dit artikel dat de hack gisteren heeft plaatsgevonden en ze nu al beweren te weten wie het is geweest? Ze zijn slachtoffer geworden van een hack, dat kan ook begin van het jaar al geweest zijn. Net zoals jouw verhaaltje "Een klant was gehackt en ik heb het getraced naar Italië", daar zou een onwetende derde ook op kunnen zeggen "Onzin, hoe kan je dat nou zo snel weten?".

[Reactie gewijzigd door fsfikke op 9 december 2020 10:55]

Om misbruikt te voorkomen hebben ze CVE's en snort rules gepubliceerd op een github pagina. Die zijn gisteren gereleased. Dat doe je niet na een jaar, want dan heeft het geen zin meer - dan zijn de gehackte expoits overal bekend in het wild.

En mijn verhaaltje was net om aan te tonen dat je zoiets vindt na 1 dag. Dit heeft echt een hele tijd geduurd voordat ik de personen in kwestie heb ontmaskerd, en dan heb ik nog veel geluk gehad dat dit gelukt is.
Ik kan je aanraden om het boek 'Het is oorlog en niemand die het ziet' te lezen.
Bij het ontdekken van een hack werd de hacker terug gehackt. Dit bleek toen ook Cozy Bear te zijn. Dit wisten ze toen, niet door signatures oid, maar doordat ze bij toeval een security camera gehackt hadden, die de toegangsdeur van de GROe moest bewaken. Hier kwamen ze pas achter toen ze een aantal bekende leden van Cozy Bear in en uit zagen lopen.
Ze konden dus inderdaad letterlijk zien welke kleur trui de hackers aan hadden ;)
Door een natiestaat? Volgens wikipedia (ik kende de term niet) bestaan er amper natiestaten. Ik ben benieuwd op welk land er dan gedoeld wordt.
De natiestaat wordt gebruikt als begrip om een land aan te duiden als je niet nader wilt, of kunt, specificeren wat de staatsrechtelijke indeling is. Zo bestaan de VS uit meerdere staten maar is de VS een natiestaat. In tegenstelling tot bijvoorbeeld een koninkrijk. De UK zal door velen als natiestaat gezien worden maar als Schotland met zijn eigen parlement bijvoorbeeld in de EU besluit te blijven, wat niet zonder meer kan, zal dat begrip verschuiven.

Het gaat dus om een gebied met verregaande autonomie en staatsrechtelijke of religieuze identiteit. Meestal, maar dus niet altijd correct, aangeduid met de term; land.
"Nation State" is een term die gebruikt wordt om een "hack" groep aan te duiden die financieel door een land gesponserd is. Hackinggroepen gaan over het algemeen voor een "laaghangend fruit" aanpak en zijn erg oppertuun om snel geld te verdienen met zo min mogelijk inzet. "Nation State" is daar het tegenovergestelde van Tijd en geld zat om aan een project te werken, dus al duurt het 2 jaar om daar binnen te komen als dat het doel is gaan ze daarvoor.
Dan is de term redelijk verkeerd in gebruik vind ik.
Als je de twee termen bekijkt zijn het eigenlijk synoniemen van elkaar.
Ik zou eerder dan de term 'Nation Hacker' of 'State Hacker' gebruiken.
"State hacker" impliceert dat Florida een eigen hack team heeft, helemaal in de VS. "Nation state" is in deze context praktisch gelijk aan ons eigen woord "staat" om een land aan te duiden.

Ik zou "staatshackers" gebruiken in plaats van "natiestaathackers", in het Nederlands wordt die term niet op die manier gebruikt.
"State hacker" impliceert dat Florida een eigen hack team heeft, helemaal in de VS.
Dat is zeer wel mogelijk met al die Cubanen en andere Zuid Amerikaanse dissidenten. Ik zou eerder aan California gedacht hebben met Silicon Valley.
aanvalstechnieken die Red Teams bij oefeningen in kunnen zetten tegen Blue Teams, die zich moeten verdedigen tegen de netwerkaanvallen.
De Red Teams hebben duidelijk gewonnen ! :*)
Nou op zich is er weinig aan te vinden dat het verkeerd is gebruikt, het is gewoon verkeerd gebruikt.

Echt gek dat zo'n woord gebruikt wordt voor iets waar het totaal niet mee te maken heeft. 8)7 Het is wel belangrijk om woorden wel te gebruiken waar ze passen en niet dat sommige woorden betekenis verliezen door ze foutief te gebruiken lijkt me. Je ziet het de laatste tijd wel vaker in het nieuws verschijnen (ik doel hier niet op Tweakers), woorden worden overal maar neergegooid waardoor wat het eigenlijk echt betekent ondersneeuwt.
Taal is niet statisch, en betekenis van woorden ook niet.

Een taal leeft.
Ook in het Engels is een Nation State een land met een zeer dominante nationaliteit. Grappig als ze Rusland zouden bedoelen, want dat is zeker geen natiestaat.
Nation state hacker is de term in het Engels . Duidt eigenlijk op een groep die gesponsord wordt door een bepaald land . Usual suspects zoals Rusland, China , Iran, ... ze kunnen vaak pinpointen welke groep het is door gebruikte technieken. Maar je gaat ze nooit zwart op wit zien toegeven dat ze werken voor een bepaald land. Hier wordt gekeken naar Rusland vermits de FBI afdeling (specialisatie Rusland de zaak heeft opgenomen ) Fireeye organiseert ook een reeks webinars voor meer informatie, kan iedereen overkomen. Het is een kwestie hoe je hier mee omgaat ...
https://www.nytimes.com/2...eeye-hacked-russians.html
Een gevalletje verkeerde vertaling dus. 'Nation state' == De status van een natie.
Hier dus hackers met de status van een natie. Formeel staats-hackers (die zijn er niet veel) en hackers die op 1 of andere manier die status hebben gekregen omdat ze als zodanig opereren, beschermd of gebruikt worden.

[Reactie gewijzigd door beerse op 9 december 2020 09:02]

Een gevalletje verkeerde vertaling dus. 'Nation state' == De status van een natie.
Natiestaat, in het Engels een Nation state, is een staat die (overwegend) door een enkel volk, met dezelfde taal en cultuur, wordt bewoond. Om te begrijpen wat het alternatief is, moet je kijken naar het verre verleden, toen Europese staten vaak bestonden uit een lappendeken van gebieden, met verschillende talen en culturen, onder een vorst die soms niet eens de taal van zijn onderdanen sprak. Denk aan het Habsburgse Rijk.

Van Wikipedia:
Een natie is in beginsel een gemeenschap van mensen die zich verbonden voelen door gedeelde kenmerken. Het begrip is niet slechts academisch, maar heeft ook een sterke politieke lading en kent dan ook vele definities. Criteria kunnen objectief zijn zoals verwantschap, cultuur, taal of religie. Subjectieve criteria zijn verbondenheid en solidariteit die gevoeld wordt door een groep. Als de natie grotendeels samenvalt met de staat wordt wel gesproken van een natiestaat.
Maar in dit concrete geval wordt de term nation state waarschijnlijk meer gebruikt omdat State in de VS tot verwarring kan leiden omdat ze hun 50 deelstaten ook States noemen.
Waar ik op doel is dat het woord 'state' in de engelse term 'nation state' hier de betekenis van 'status/stand' heeft en niet de betekenis 'natie/land/staat'.

Het woord 'nation' in de term 'nation state' verwijst wel naar een land/natie/staat of meer omschrijvend: een gebied en (groep van) volken die samen 1 regering voeren.

Bij het creatief vertalen van het Engels naar het Nederlands wringen de dubbele betekenissen van het Engelse woord 'state' en het Nederlandse woord 'staat'.
Gelukkig wringen de dubbele betekenissen van de woorden 'nation' en 'natie' in schrijftaal niet. Fonetisch kan dat ook nog een uitdaging zijn.
Ik denk dat een mooiere vertaling een statelijke actor is of een buitenlandse mogendheid. Dit is veel gebruikelijker in de security wereld
Denk dat hier gewoon staatshackers (in opdracht van een land) bedoeld worden en de auteur dacht een moeilijk woord te verwerken in zijn artikel
Ik snap niet zo goed waarom jouw post wordt geminned, dat hoorde ik namelijk ook op het NOS nieuws. Waar ik wel benieuwd naar ben, is hoe ze dit kunnen achterhalen. En daarnaast hoe hackers kunnen doen "alsof" zij uit Rusland komen om te misleiden.
Nationstate hackers is in deze context erg gebruikelijk. Er wordt hiermee een groepering aangeduid die of in opdracht van een land hacks uitvoeren. Grote hierin zijn Rusland, Noord Korea, maar ook Israel en de VS. Zoek maar eens naar een lijst van advanced persistent threats (APTs), dit zijn eigenlijk allemaal nationstate hack groepen.
Natiestaat is een term van Baudet. Misschien bepaalde sympathieën bij de auteur.
Natiestaat is gewoon een bestaande term die al heel lang bestaat. Maar die term is inderdaad wel populair bij rechtse politici, omdat zij menen dat een staat hoort te bestaan uit een homogene bevolking, met dezelfde taal,cultuur, religie, etc.
"Om misbruik tegen te gaan, heeft FireEye naar eigen zeggen honderden tegenmaatregelen gepubliceerd."
Geken naar de Github pagina is dit een iets te grote claim.
FE heeft tal van rules gepubliceerd die gebruikt kunnen worden in detectieoplossingen zoals Snort en Yara. Deze rules hebben naar mijn inschatting voornamelijk beveiligingswaarde op gebied van het detecteren van aanvallen en niet direct op het voorkomen van een succesvolle aanval.
"Om misbruik tegen te gaan, heeft FireEye naar eigen zeggen honderden tegenmaatregelen gepubliceerd."
Geken naar de Github pagina is dit een iets te grote claim.
FE heeft tal van rules gepubliceerd die gebruikt kunnen worden in detectieoplossingen zoals Snort en Yara. Deze rules hebben naar mijn inschatting voornamelijk beveiligingswaarde op gebied van het detecteren van aanvallen en niet direct op het voorkomen van een succesvolle aanval.
Je kan niks voorkomen als je ze niet kan detecteren ;)
Je kan de netwerkkabel eruit trekken.
Dan voorkom je het, maar je kan het niet detecteren.
Mwah een paar IPS filtertjes en FW regels helpen vaak al een boel. Je kan de lading nooit volledig dekken natuurlijk maar gelukkig staan de netwerk / security engineers niet zonder lege handen.
Natuurlijk kan je aan de hand van detectie reageren en zo voorkomen dat de hele cyberkillchain wordt doorlopen. Maar je kan je daarnaast zeker wel preventief beveiligen tegen voorstelbare aanval scenario' s.
Maar als je het detecteert heb je het niet voorkomen.
De aanval kun je onmogelijk voorkomen, schade kun je voorkomen door tijdig in te grijpen nadat je de aanval hebt ontdekt.
@chocopasta zojuist heb ik hetzelfde gedaan. Het is inderdaad een set van detectie-rules en beschrijvingen (OpenIOC) van aanvallen. Het geeft denk ik weer welke tools er vermoedelijk gebruikt zijn tijdens de inbraak.

RED-team: Valt aan en doet verslag
BLUE-team: Signaleert en voert de verdediging uit.

De naam van de repo geeft aan dat er (in de haast) zaken door elkaar gehaald zijn.
Ik vind de naam op zich wel kloppen, het zijn countermeasures tegen de tools van hun het FireEye Red Team. Als je "FireEye Red Team"vvervangt door bijvoorbeeld "Fancy Bear" krijg je de "Fancy Bear Tool Countermeasures" wat helemaal klopt.

De rules geven allerlei beschrijvingen van software met auteur "FireEye" en de tools van FireEye zelf zijn gestolen, dus het is niet alsof deze regels bescherming bieden tegen de malware die FireEye binnengedrongen heeft. Die zullen er misschien tussen kunnen zitten, maar dat is niet de intentie achter deze release.

Dit zijn detectieregels die het moeilijk maken voor de hackers van FireEye om de gestolen tools in de praktijk te gebruiken om andere bedrijven te hacken. In een klap kan ieder beveiligingsbedrijf de gestolen attack tools detecteren, wat ten koste gaan van de effectiviteit van FireEye maar wel een hele hoop bedrijven beschermt.

De naam is iets verwarrend omdat er red team in staat, maar hij is op zich prima correct.
Goed kunnen detecteren is veel belangrijker dan de illusie hebben dat je onschendbaar bent.
En daarom zijn backdoors en master keys in de security wereld een vreselijk slecht idee.
Wat heeft dat precies met dit artikel te maken? Bedrijven betalen dit bedrijf om een poging doen gehackt te worden. Daarna betalen ze eventueel het bedrijf om de manier waarop ze binnen zijn gekomen te patchen. Er zijn open source pakketten die soortgelijke tools bieden, maar veel bedrijven hebben ook hun eigen interne tooling die beter aansluit op hun eigen tests.

Ik kan je verzekeren dat een FoxIt of een Delloite ook gewoon zulke tools heeft liggen, ook al zijn het er minder. Wil je een goede red team exercise uitvoeren, moet je nu eenmaal af en toe hacktools maken. 't zou fijn zijn als ze de hele toolkit zouden open source maar de tools onschadelijk maken door detectieregels vrij te geven werkt ook prima.
Waarschijnlijk doelt @Fluttershy er op dat zelfs " een van 's werelds grootste beveiligingsbedrijven" diefstal van cybersecurity geheimen niet kan voorkomen. Nou zijn interne hacktools natuurlijk niet helemaal vergelijkbaar met master keys en backdoors, maar er valt een bruggetje te maken naar het debat over encryptie & backdoors.
Inderdaad.

Als professionele bedrijven zoals FireEye al ten prooi kunnen vallen aan staatshackers dan maak ik mij alleen maar nog meer zorgen over de eventuele houders van eventuele backdoors en master keys.

Want stel dat die er komen. wie mag ze dan vasthouden?
De tools die zijn gestolen vind je waarschijnlijk op de laptop van iedere red team engineer. Sourcecode en private keys van een applicatie niet.

De kans dat iemand source code en/of private keys weet te stelen is dus vele malen kleiner.

Wat bedoel je met je laatste regel?
En daarom zijn backdoors en master keys in de security wereld een vreselijk slecht idee.

Wat heeft dat precies met dit artikel te maken?
Ik denk, geinspireerd op het artikel: een bedrijf als FireEye heeft niet alleen de kennis om zich tegen inbraken te verdedigen, maar marketingtechnisch een groter belang dan 'de staat' om te zorgen dat er niet bij ze ingebroken wordt.

Als zelfs zo'n partij niet in staat is z'n core-business te beschermen tegen "oeps", hoe verwacht je dat de afdeling 'geheime sleutels en achterdeurtjes' van de overheid zich beschermt?

edit: volgende keer F5 voorafgaand aan commentaar posten...

[Reactie gewijzigd door wankel op 9 december 2020 13:10]

De meeste stellen ze zelfs beschikbaar kijk maar bij Cqure.
Ja maar pedofielen en terroristen.. en wat was de ander ook alweer :P

[Reactie gewijzigd door Lampiz op 9 december 2020 08:33]

Niet echt goede reclame voor dat bedrijf, maar wel goed dat ze informatie online zetten hoe organisaties zich ertegen kunnen beschermen.
Bescherming tegen staats hackers staat nu wel niet echt op 1 bij de meeste bedrijven, daarnaast is nog maar de vraag via welke manier ze binnen zijn geraakt;
Klopt, maar als beveiligingsbedrijf in het nieuws komen met het feit dat er iemand door je beveiliging heen is gekomen lijkt me, ongeacht de toedracht van het hele verhaal, niet echt gewenst.
De beste reclame voor dit bedrijf komt nu: Hoe gaan ze er mee om en hoe communiceren ze dat naar het publiek. Het zal mij benieuwen.
Op zich doen ze dat wel netjes vind ik, overal gemeld, dingen online gezet wat je kan doen om je tegen die tools te beschermen enz.

Het probleem is alleen dat als iedereen dat soort aanbevelingen als ze nu online hebben gezet netjes opvolgde dit soort bedrijven niet zoveel te doen had. Ik denk ook niet dat dit tot heel veel extra beveiligingsmaatregelen gaat leiden.

[Reactie gewijzigd door Vizzie op 9 december 2020 09:18]

+1Anoniem: 1344348
9 december 2020 07:58
Zo. Echt een hack met serieuze gevolgen. Welk land is hier toe in staat? Zuid-Korea, China, Rusland, Israël, Iran?
Ik zou eerder Noord- dan Zuid-Korea verwachten, die doen wel vaker hardhandige cyberaanvallen, al dan niet vanuit hotels en cafés in China.

Ieder land met een cyberdivisie kán het gedaan hebben natuurlijk, de AIVD/MIVD heeft ook gewoon professionals die zo'n operatie op kunnen zetten. Met genoeg overheidsgeld is ieder doelwit wel te hacken. Het is praktischer om een lijst op te stellen met het motief om FireEye te hacken dan om de landen met de mogelijkheid om het te doen te zoeken.
Ik denk niet dat NAVO landen of landen die op een andere manier een alliantie met de VS hebben de politieke risico's van zo'n hack op zich willen nemen.

Belgacom is een mooi voorbeeld over hoe politiek en de uiteindelijke politieke gevolgen asymmetrisch zijn.
Haal zuid-Korea en Israël maar van je lijstje, Amerika is hun grootste bondgenoot...
België is een bondgenoot van Engeland en toch zag de GHCQ diep in het netwerk van Belgacom voordat ze gevonden waren. Dat een land bondgenoot is met een regering zegt niet dat ze een bedrijf niet zullen hacken. Sterker nog, net als de regelomzeiling die de AIVD door middel van buitenlandse veiligheidsdiensten kan doen, kan een buitenlandse overheid worden ingezet tools bij bedrijven vandaan te pakken voor gebruik van de eigen overheid.

Als de NSA die tools en informatie wil hebben, is het mogelijk makkelijker km Israël binnen te laten sluipen dan om het lief te vragen met al het juridische gesteggel vandien. Als ze achteraf worden gepakt met de tools komen, zegt de NSA dan gewoon "gekocht van een onbekende derde partij op het dark web" en zijn ze klaar. Je kunt eigenlijk geen enkele overheid uitsluiten hier...
Bijzondere aanname, zeker omdat Israel wel vaker spioneert bij bondgenoten en juist in de USA. Israel wil niet afhankelijk van een bondgenoot die een eigen politieke agenda heeft. En dus zullen ze moeten weten wat deze bondgenoot uitspookt, en dan ga je informatie verzamelen. En wanneer dat geheime informatie betreft, noemen we dat spionage.
Ik zie onderaan dit artikel dat ze al eerder te maken hebben gehad van (potentiele) lekken en dat eerst ontkenden. Dit lijkt me nou niet echt goed voor het imago van het bedrijf.
Slechte reclame.Maar eigenlijk onschuldig als het waar is wat er gezegt wordt. Zolang er geen 0days gestolen zijn is er vrij weinig aan de hand. Als je een high profile target met success kan aanvallen heb je hun scripts en tools echt niet nodig. De meeste tools zitten verpakt in security distros zoals Kali,blackarch,etc. Vrij verkrijgbaar en meer heb je niet nodig. En staatshackers hebben zelf een arsenaal aan 0days en tools.
Veiligheid is een illusie alles kan gehacked worden. Tijdje terug was er iemand die software aanbood om de ASML machine's goedkoper van software te voorzien. Alles heeft een prijs. Wil safe zijn dan moet je eigen glasvezellijn laten leggen en niet aan het Internet hangen. Zoals oa. de legers van de NATO landen dat doen.
Wil safe zijn dan moet je eigen glasvezellijn laten leggen en niet aan het Internet hangen.
Dat is ook geen garantie.
Als men weet waar die lijn loopt, hoeven ze alleen maar te gaan graven en kijken of ze een afsplitsing kunnen maken van de glasverbinding. Er zal over de hele route vast niet overal bewaking bij staan...

Encryptie op de verbinding zal veel voorkomen, maar eenmaal een opening...
Wie weet wat er daarna dan volgt?

[Reactie gewijzigd door MarcAngel0 op 9 december 2020 12:31]

"hackers" zullen altijd een stap voor zijn bij "security/beveiligings" bedrijven en het zal altijd een kat en muis spel blijven alleen vaak 1-0 voor de "hackers" omdat een "lek/bug" vinden makkelijker is dan zoeits te zoeken zelf omdat je denkt dat het veilig is

Zo denk ik
Voor een hacker kan 1 kwetsbaarheid voldoende zijn. Als beveiliger moet je alle kwetsbaarheden afdekken. Maar er is een groot verschil tussen een hacker die eender wat wil kraken, en een hacker die een specifiek doelwit wil treffen. Voorbeelden van het eerste type zijn de cryptolocker ransomware campagnes die we de laatste jaren zien. Daar maakt het de aanvallers eigenlijk niet uit waar ze binnengeraken (alhoewel je soms hoort van targeted attacks). Staatshackers hacken meestal met een specifiek doelwit voor ogen, en moeten dus bij dat specifieke bedrijf/individu binnenraken. Zelfs al heb je goeie Windows-technieken, als blijkt dat je target een Mac gebruikt, ben je daar dan niks mee. Terwijl een "hack-whatever" aanvaller gewoon andere targets kiest en verder doet.

Idem in de echte wereld. Tegen het eerste soort dieven helpt het om een beter slot op je deur te hebben dan je buurman. Die dief breekt immers net zo graag bij je buurman binnen als bij jou. Tegen het tweede type helpt dat niet.
Zoals de nogal duistere quote gaat:
Today we were unlucky, but remember we only have to be lucky once. You will have to be lucky always.
Ook bekend van motivational posters op social media en saaie bedrijfspresentaties. Wat nogal apart en misplaatst is.

[Reactie gewijzigd door Eonfge op 9 december 2020 08:22]

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True