تبعات نفوذ به فایرآی برای شرکتها در ایران
شرکت امنیت شبکه FireEye مورد نفوذ قرار گرفته و ابزارهای این شرکت اکنون در دست مهاجمان است. بنابراین ضروریست سازمانها و شرکتهای دولتی و خصوصی کشور در آمادگی کامل باشند، مدیران شبکه، سیستمهای خود را بررسی کنند و اطمینان حاصل کنند که تاکنون مورد حمله واقع نشده باشند.
شرکت FireEye یکی از بزرگترین نامهای دنیا در عرصه امینت شبکه و فضای سایبری است که با بسیاری از شرکتهای مهم دنیا همکاری دارد و امنیت شبکه آنها را تامین میکند. اما بنابر اطلاعات مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانهای) این شرکت اخیرا اعلام کرده که توسط یک تیم بسیار قدرتمند مورد تهاجم سایبری قرار گرفته است.
در نتیجه این حمله، برخی از خطرناکترین ابزارهای امنیتی دنیا به سرقت رفته است. مدیر عامل FireEye در بیانات خود اظهار کرد: با توجه به ۲۰ سال حضور در امنیت سایبری و پاسخگویی به حوادث، به این نتیجه رسیدهام که شاهد حمله یک کشور با بالاترین سطح تهاجمی هستیم. این حمله متفاوت از دهها هزار حملهای است که در طول سالها به آنها پاسخ دادهایم. مهاجمان تواناییهای خود را بهطور مشخص برای هدف قرار دادن و حمله به FireEye تقویت کردهاند.
آنها در زمینه امنیت بسیار آموزشدیده هستند و حمله را با نظم و تمرکز اجرا میکنند. مهاجمان از روشهایی استفاده کردهاند که ابزارهای امنیتی و ابزارهای forensic را مخفیانه دور میزنند. همچنین مهاجمان از روشهای جدیدی استفاده کردهاند که ما یا شرکای ما در گذشته این روشها را مشاهده نکرده بودیم.
هکرها موفق به سرقت ابزارهای دیجیتال Team Red شدهاند که به منظور شناسایی آسیبپذیری سیستمها در شبکه مشتریان استفاده میشد. با وجود اینکه هیچ یک از ابزارهای به سرقت رفته آسیبپذیری روز صفر را اکسپلویت نمیکنند اما احتمال اینکه هکرها بخواهند از ابزارهای سرقتشده سوءاستفاده کنند وجود دارد. بنابراین شرکت FireEye مجموعهای از قوانین Yara ،Snort ،clamAV ،HXIOC را منتشر کرده تا سایرین آمادگی مقابله با حملات احتمالی مبتنی بر ابزارهای سرقتشده Team Red را داشته باشند.
توصیه میشود مدیران شبکه این قوانین را در سیستمهای تشخیص نفوذ خود اعمال کنند، همچنین با توجه به اینکه احتمال بهروزرسانی این قوانین وجود دارد، به صورت مداوم قوانین بهروزشده را اعمال کنند. شرکت FireEye مجموعهای از آسیبپذیریها را منتشر کرده است که رفع این آسیبپذیریها میتواند برای مقابله با اثرات جانبی دزدیده شدن ابزارهای این شرکت مفید باشد. لیست آسیبپذیریهای مذکور در این لینک آمده است. مدیران شبکه با مشاهده این لیست میتوانند در صورتی که آسیبپذیری مذکور را رفع نکردهاند، اقدام به رفع آن کنند.
اکنونن که شرکت FireEye مورد نفوذ قرار گرفته و ابزارهای این شرکت اکنون در دست مهاجمان است، ضروریست تا مدیران شبکه، سیستمهای خود را بررسی کنند و اطمینان حاصل کنند که تاکنون مورد حمله واقع نشده باشند. همچنین باید براساس قوانین ارائهشده توسط این شرکت سیستمهای تشخیص نفوذ خود را قدرتمند سازند و به صورت مداوم پیگیر خبرهای این شرکت باشند تا در صورت هر گونه اعلام هشدار یا راهکار جدیدی سیستمهای خود را بهبود ببخشند.