Arroseur arrosé ou cible particulièrement intéressante ? FireEye est une société réputée et performante dans le domaine de la sécurité informatique, notamment dans la réponse à incident (Madiant étant une des sociétés du groupe), mais aussi dans la protection contre les menaces même les plus avancées. Et pourtant, fin 2020, elle a été ciblée et l’attaque a abouti.
Pourquoi eux ?
Ironie du sort, je les avais rencontrés (enfin j’avais eu une réunion Teams en cette période de reconfinement) une semaine avant l’annonce de cet incident. Je ne connaissais qu’une partie de leurs activité, mais leur structure m’a semblé très sérieuse, cohérente, et couvrant les principaux domaines leur permettant d’offrir une protection efficace à leurs clients. Différentes acquisitions bien choisies leur ont permis d’acquérir des connaissances et du savoir-faire dans des domaines tels que la threat intelligence, avec le rachat d’Insight Partners dont les 150 consultants ne font que de la veille en sécurité, alors que la cellule équivalent à l’ANSSI ne fait qu’une dizaine de personnes.
Attaque d’état
Ce ne sont donc pas des débutants. L’hypothèse d’une grave négligence est peu probable de leur part, et surtout l’analyse1 de l’attaque montre que c’est bien une équipe déterminée et organisée qui les attaqués.
Que cherchaient les attaquants ?
La première idée fut de penser aux Shadow Brokers, puisque que la collections d’outils Red Team de FireEye était visée. Sauf que FireEye n’est pas NSO Group et ne vend pas de faille zero-day : la plupart des scripts d’exploitation de FireEye utilisent des failles connues, voire dont les exploitations sont accès libre. Les scripts sont au mieux des versions améliorées de ce qui existe déjà.
Donc peu de chance de voir un déluge de ces scripts pleuvoir sur nos pauvres infrastructures2, en tout cas pas plus que d’habitude : rien de nouveau de ce côté là. Or du côte des Shadow Brokers, les exploits publiés concernait des failles zero-day (non corrigées) à l’époque, infiniment plus redoutables. Par ailleurs, quel intérêt pour un groupe vraisemblablement très compétent de voler des techniques qu’ils sont capables de reproduire ?
La réponse vient peut être de la vraie cible possible : les clients de FireEye. L’idée n’est pas de dérober la liste de clients (aucun intérêt d’une telle attaque pour un si maigre butin) mais de mieux connaître, via ces outils Red Team, la façon dont FireEye protège ses clients afin de pouvoir contourner la (bonne) protection offerte par FireEye2. La société est réputée efficace, donc une attaque frontale de ses produits risquerait d’être inefficace. Par contre, la connaissance de leur fonctionnement pourrait, dans les semaines ou les moins à venir, permettre à l’attaquant de construire des attaques (forcément très sophistiquées) évitant les protections de FireEye.
Une autre idée est que les outils de FireEye utilisent des techniques de bonne facture, dont pourraient s’inspirer les attaquants pour devenir les plus indetectables possibles.
Enfin, la vraie cible des attaquants n’a peut-être pas encore été découverte, plusieurs jour après la divulgation de l’attaque.
Alors bons ou pas bons ?
Il ne s’agit pas ici d’un cordonnier mal chaussé. FireEye n’a probablement pas fait montre de négligence mais a été confronté à un attaquant méthodique et organisé2. D’autres société telles que Kaspersky ont aussi connu les mêmes mésaventures. La sécurité à 100% n’existe pas : un attaquant déterminé et disposant de moyens conséquents (de niveau étatique) finira toujours par arriver à ses fins.
Néanmoins, FireEye a été capable de détecter l’intrusion relativement rapidement. Il faut rester un peu positif, en cette période où les menaces pleuvent.
Un mal pour un bien ?
Reprenons la chronologie : FireEye annonce mi-décembre une intrusion et une fuite d’information. Pas de chance pour le champion ! Mais très vite l’hypothèse d’une négligence s’atténue au vu de la sophistication de l’attaque, au fur et à mesure de la progression des investigations de la société (c’est justement une de leurs spécialités, le forensique).
Passé la stupeur et les interrogations, leurs experts se rendent compte qu’ils ont été attaqués via une mise-à-jour d’un produit externe (donc une attaque de la supply chain, c’est-à-dire en passant par les fournisseurs d’une société). La sophistication est telle que les modifications malveillantes ont été signées par la société éditrice du logiciel Orion, à savoir SolarWinds. Des informations plus détaillées sont disponibles sur le blog de FireEye.
Et c’est en poursuivant leurs investigations que FireEye s’est rendu compte que de nombreux clients du même fournisseur ont pu être touchés, et la liste des victimes34 s’avère impressionnante : le Trésor américain, Microsoft, le département de sécurité intérieure US (DHS), l’administration de la sûreté nucléaire US pour n’en citer que quelques uns5.
Sources
- FireEye breach explained: How worried should you be? | CSO Online
- Partial lists of organizations infected with Sunburst malware released online | ZDNet
- Microsoft says it identified 40+ victims of the SolarWinds hack | ZDNet