Hackmethoden van securityspecialist FireEye gestolen

Hackers zijn binnengedrongen bij FireEye, één van de grootste internetbeveiligingsbedrijven van de Verenigde Staten. Topman Kevin Mandia stelt in een blogbericht dat de aanvallers aan de haal zijn gegaan met onder meer de hackmethodes waarmee FireEye de beveiliging van klanten test. Ook hebben de digitale inbrekers interne bedrijfsgegevens gestolen.

ANPMeer van deze auteur

Eveline MeijerRedacteurMeer van deze auteur

Jasper BakkerredacteurMeer van deze auteur

Datalek, hack — © CC0/Pixabay License

CC0/Pixabay License

FireEye gebruikt zijn hackmethoden om te demonstreren aan bedrijven wat de impact kan zijn van een succesvolle aanval. Daarnaast laten ze aan verdedigers zien hoe ze aanvallen kunnen tegenhouden. Dit betreft respectievelijk zogeheten Red Teams (aanval) en Blue Teams (verdediging). Op die manier moet de beveiliging van een bedrijf verbeterd worden. Maar deze methoden zijn nu dus gestolen, schrijft Mandia in de blog.

De topman verwacht echter niet dat de mogelijkheden van de aanvallers sterk verbeterd worden met de gestolen tools. Er zitten namelijk geen zero-day exploits bij en de tools gebruiken bekende en gedocumenteerde methoden die security-bedrijven wereldwijd gebruiken. Toch doet FireEye er alles aan om te voorkomen dat er misbruik wordt gemaakt van de buitgemaakte tools voor Red Teaming.

Vooralsnog is er geen bewijs dat de gestolen methodes gebruikt zijn. Het is ook niet duidelijk of de hackers van plan zijn de methodes te gebruiken of openbaar te maken. Maar het onderzoek, waar de FBI en Microsoft aan meewerken, zit pas in de beginfase. FireEye heeft al wel 'tegenmaatregelen' (zoals zogeheten indicators-of-compromise, IOC's) gratis vrijgegeven om inzet van zijn Red Team tools te kunnen detecteren.

Geavanceerde operatie

Mandia zegt in zijn blogbericht dat de aanval een zeer geavanceerde operatie was, die mogelijk is uitgevoerd door de regering van een land. Naast de diefstal van de hackmethodes leken de hackers ook geïnteresseerd in de gegevens van overheidsinstanties die klant zijn bij FireEye, aldus Mandia. Er is echter nog geen bewijs dat er klantgegevens zijn buitgemaakt.

Wanneer de hack precies heeft plaatsgevonden, is niet bekend gemaakt. In de blogpost van gister (dinsdag 8 december) schrijft Mandia dat zijn bedrijf "recent is aangevallen". Over de gebruikte hackmethoden deelt hij mee dat dit een nieuwe combinatie van technieken is die nog niet eerder door FireEye of diens partners is gezien. "Deze aanval is anders dan de tienduizenden incidenten waar we in de loop der jaren op hebben gereageerd."