تبعات نفوذ به شبکه FireEye برای شرکت‌های ایرانی

آی‌تی‌من-  شرکت FireEye یکی از بزرگترین نام‌های دنیا در عرصه امینت شبکه و فضای سایبری است که با بسیاری از شرکت‌های مهم دنیا همکاری دارد و امنیت شبکه آنها را تامین می‌کند. اما بنابر اطلاعات مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه‌ای) این شرکت اخیرا اعلام کرده که توسط یک تیم بسیار قدرتمند مورد تهاجم سایبری قرار گرفته است.

در نتیجه این حمله، برخی از خطرناک‌ترین ابزارهای امنیتی دنیا به سرقت رفته است. مدیر عامل FireEye در بیانات خود اظهار کرد: با توجه به ۲۰ سال حضور در امنیت سایبری و پاسخگویی به حوادث، به این نتیجه رسیده‌ام که شاهد حمله یک کشور با بالاترین سطح تهاجمی‌هستیم. این حمله متفاوت از ده‌ها هزار حمله‌ای است که در طول سال‌ها به آنها پاسخ داده‌ایم. مهاجمان توانایی‌های خود را به‌طور مشخص برای هدف قرار دادن و حمله به FireEye تقویت کرده‌اند.

آنها در زمینه امنیت بسیار آموزش‌دیده هستند و حمله را با نظم و تمرکز اجرا می‌کنند. مهاجمان از روش‌هایی استفاده کرده‌اند که ابزارهای امنیتی و ابزارهای forensic را مخفیانه دور می‌زنند. همچنین مهاجمان از روش‌های جدیدی استفاده کرده‌اند که ما یا شرکای ما در گذشته این روش‌ها را مشاهده نکرده بودیم.

هکرها موفق به سرقت ابزارهای دیجیتال Team Red شده‌اند که به منظور شناسایی آسیب‌پذیری سیستم‌ها در شبکه مشتریان استفاده می‌شد. با وجود اینکه هیچ یک از ابزارهای به سرقت رفته آسیب‌پذیری روز صفر را اکسپلویت نمی‌کنند اما احتمال اینکه هکرها بخواهند از ابزارهای سرقت‌شده سوءاستفاده کنند وجود دارد. بنابراین شرکت FireEye مجموعه‌ای از قوانین Yara ،Snort ،clamAV ،HXIOC را منتشر کرده تا سایرین آمادگی مقابله با حملات احتمالی مبتنی بر ابزارهای سرقت‌شده Team Red را داشته باشند.

توصیه می‌شود مدیران شبکه این قوانین را در سیستم‌های تشخیص نفوذ خود اعمال کنند، همچنین با توجه به اینکه احتمال به‌روزرسانی این قوانین وجود دارد، به صورت مداوم قوانین به‌روزشده را اعمال کنند. 

شرکت FireEye مجموعه‌ای از آسیب‌پذیری‌ها را منتشر کرده است که رفع این آسیب‌پذیری‌ها می‌تواند برای مقابله با اثرات جانبی دزدیده شدن ابزارهای این شرکت مفید باشد. لیست آسیب‌پذیری‌های مذکور در این لینک آمده است. مدیران شبکه با مشاهده این لیست می‌توانند در صورتی که آسیب‌پذیری مذکور را رفع نکرده‌اند، اقدام به رفع آن کنند.

اکنونن که شرکت FireEye مورد نفوذ قرار گرفته و ابزارهای این شرکت اکنون در دست مهاجمان است، ضروریست تا مدیران شبکه، سیستم‌های خود را بررسی کنند و اطمینان حاصل کنند که تاکنون مورد حمله واقع نشده باشند. همچنین باید براساس قوانین ارایه‌شده توسط این شرکت سیستم‌های تشخیص نفوذ خود را قدرتمند سازند و به صورت مداوم پیگیر خبرهای این شرکت باشند تا در صورت هر گونه اعلام هشدار یا راهکار جدیدی سیستم‌های خود را بهبود ببخشند.