Cyberattaque contre FireEye : quand, comment, qui, quoi et pourquoi

La communication de FireEye, taillée au cordeau, selon Philippe Gillet, directeur technique de Gatewatcher, laisse ouvertes de nombreuses questions. Certes, l’entreprise s’estime victime d’un « effort de cyberespionnage soutenu par un État-nation ».

Rassurant, Kevin Mandia assure que si « l’attaquant a cherché des informations relatives à certains clients gouvernementaux », rien n’indique, à ce stade de l’enquête, qu’il ait réussi à exfiltrer des données « de nos systèmes principaux stockant des données clients, issues de nos engagements de conseil ou de réponse à incident, ou des métadonnées collectées par nos produits dans nos systèmes dynamiques de renseignement sur les menaces ». Mais rien sur la chronologie de l’attaque, sur l’acteur impliqué ou encore sur l’étendue complète de ses motivations.

Sur le premier point, Philippe Gillet relève que les règles de filtrage et de détection fournies par FireEye n’ont probablement pas été produites dans la précipitation : elles pourraient remonter à la fin du mois de novembre. Ce qui lui fait se demander si la découverte de l’attaque ne remonte pas au mois d’octobre, voire plus tôt.

Selon nos confrères du Washington Post, les assaillants seraient à chercher du côté du groupe russe APT29, ou Cozy Bear. Mais à ce stade, nombreux sont ceux qui, dans le monde du renseignement sur les menaces et l’industrie de la cybersécurité, préfèrent rester circonspects. Et cela d’autant plus que, comme le souligne Philippe Gillet, FireEye ne s’est pas montré particulièrement disert sur les techniques, tactiques et procédures de ses assaillants. Ce qui renvoie donc à la seconde question en suspens : comment ? Et les réponses à cette dernière pourraient justement éclairer sur le « qui ».

Et cela vaut également pour le « quoi ». FireEye mentionne des éléments de son outillage interne. Pour Philippe Gillet, certains d’entre eux pourraient « aider à casser de futures attributions ». Mais x0rz – un chercheur indépendant en sécurité – s’interroge sur le fait que les assaillants aient vraiment cherché à s’approprier les outils de FireEye : « c’était soit opportun, soit un effet collatéral dans leur quête d’autre chose ». Mais quel serait cet objectif ? Peut-être bien les données de renseignement sur les menaces de FireEye.

Kevin Mandia ne manque pas de rappeler que ses équipes ont, au fil des ans, « identifié, catalogué et publiquement dévoilé les activités de nombreux groupes d’attaque avancée persistante (APT) ». Et pour x0rz, « si FireEye a été attaqué, les outils de red team ne sont pas vraiment ma principale préoccupation. Quid de tous les renseignements TLP:RED sur l’attaquant ? C’est probablement encore plus préjudiciable pour la communauté. Cet APT non identifié pourrait devenir invisible pour un certain temps ».

Florian Roth partage cet avis : pour lui, la question concerne moins les outils ou les données clients que « les données de renseignement confidentielles sur les groupes de haute volée, potentiellement volées ».
Dès lors, pour plusieurs professionnels du renseignement les menaces, il est bien probable que l’acteur à l’origine de l’attaque ait cherché à collecter des informations relatives à ce que les équipes de FireEye savaient de lui… afin de mieux changer ses tactiques, techniques et procédures, et s’offrir un surplus de furtivité. Au moins pour un temps. Comme le relève Nicolas Caproni, en charge de l’équipe Threat & Detection Research chez Sekoia, pour l’essentiel, « il paraît plus simple de payer un abonnement à FireEye ou d’y avoir accès via un tiers. Par contre, accéder à la télémétrie pour savoir si ses opérations sont surveillées… »