FireEye-Sicherheitslücke: Countermeasure Scanner für RMM-Tools von MSPs verfügbar

FireEye, ein in Kalifornien ansässiges Cybersicherheitsunternehmen, das Firmen Hardware- und Software-Tools zur Erkennung von Malware bietet, wurde letzte Woche von hochausgebildeten und staatlich geförderten Angreifern infiltriert.

Die gestohlenen Tools reichen von einfachen Skripten zur Automatisierung bis hin zu vollständigen Frameworks für Penetrationstests, die denen von CobaltStrike und Metasploit ähneln. Laut der New York Times sind die FireEye-Tools „so konzipiert, dass sie die anspruchsvollsten Hacking-Tools der Welt nachbilden können“. FireEye verwendet diese Tools, um Schwachstellen in den Systemen seiner Kunden zu identifizieren. Die Hacker haben die FireEye Red Team Assessment Tools aus einem streng bewachten digitalen Tresor gestohlen.

FireEye hat schnell Methoden veröffentlicht, wie man die bösartige Nutzung der Tools erkennen kann.

Was das für Datto-Partner und MSPs bedeutet

Datto hat einen FireEye Red Team Countermeasure Scanner entwickelt, der die von FireEye veröffentlichten Erkennungsmethoden nutzt. MSPs können diesen Scanner einsetzen, um Indikatoren dafür zu erhalten, ob die gestohlenen Tools auf gemanagten Systemen verwendet werden oder wurden.

Der FireEye Red Team Countermeasure Scanner:

• Verwendet das YARA-Scan-Tool von VirusTotal zusammen mit von FireEye veröffentlichten Dateien für Gegenmaßnahmen

• Scannt ausführbare Dateien auf Windows-Systemen, um zu sehen, ob gestohlene Tools von FireEye Red Team vorhanden sind

• Identifiziert, wo sich das gestohlene FireEye Tool befindet, wenn es entdeckt wird

Wenn Sie einen Fund haben, von dem Sie glauben, dass er positiv ist, empfehlen wir Ihnen, mit einem auf solche Fälle spezialisierten Unternehmen zusammenzuarbeiten. Das kann Sie dabei unterstützen, herauszufinden, ob eine Bedrohung durch einen vorhandenen bösartigen Akteur besteht.

Der FireEye Red Team Countermeasure Scanner ist für Datto RMM-Partner im ComStore kostenlos erhältlich. Darüber hinaus hat Datto öffentlich ein Skript zur Verfügung gestellt, das mit jedem Tool für Remote Monitoring & Management (RMM) verwendet werden kann, um die Branchen-Community dabei zu unterstützen, kriminelle Handlungen zu verhindern und bösartige Akteure zu erkennen, die diese gestohlenen Tools missbrauchen.

Es ist überaus wichtig, wachsam zu bleiben und eine aktive Rolle dabei zu übernehmen, Systeme gegen diese jetzt bekannten Taktiken abzuhärten. Ein wichtiger Bestandteil davon ist es, präventive und vorbereitende Maßnahmen zu implementieren. Beispiele dafür sind die Aktivierung der Zwei-Faktor-Authentifizierung (2FA), die Überprüfung Ihrer Umgebung auf die CVEs, die von den FireEye-Tools genutzt werden, die Befragung Ihrer wichtigsten Dienstleister, ob sie die anfällige Software verwendet haben, die Implementierung der von FireEye empfohlenen Überwachung sowie die Erstellung eines Plans zur Stärkung der Cyber-Resilienz.