FireEye Labs udostępnia prewencyjne analizy i wyniki ciągłego monitorowania zagrożeń za pośrednictwem usługi Oculus, pierwszej w branży globalnej platformy, która zapewnia nieprzerwaną kontrolę nowych ataków w czasie rzeczywistym.

Najważniejsze działania i analizy zaprezentowane ostatnio przez FireEye Labs

W oparciu o informacje na temat globalnego środowiska zagrożeń i na bazie swoich zaawansowanych możliwości dochodzeniowych zespół FireEye Labs realizuje różnorodne działania:

• Podczas dorocznej konferencji Black Hat w Stanach Zjednoczonych analitycy FireEye Labs zaprezentowali dogłębną analizę techniczną typowych taktyk stosowanych w zaawansowanym szkodliwym oprogramowaniu, które pozwalają uniknąć wykrycia przez systemy typu sandbox oparte na analizie podejrzanych plików. Rozwiązanie FireEye Threat Prevention Platform, które wyposażono w wyspecjalizowany mechanizm FireEye Multi-Vector Virtual Execution™ (MVX), zaprojektowano z myślą o odporności na takie techniki ukrywania rzeczywistego zachowania malware.
• Zespół wykrył skoordynowaną akcję Chińczyków, której celem była kradzież amerykańskiej technologii dronów. Ta operacja hakerska — znana pod nazwą „Operation Beebus” — została przeprowadzona przez grupę Comment Crew i należy do ostatnich przejawów chińskich ambicji w zakresie programu prac nad dronami.
• Dział FireEye Labs opublikował raport zawierający opis unikatowych cech międzynarodowych i lokalnych cyberkampanii prowadzonych przez instytucje państwowe na całym świecie. Raport ukazał się pod tytułem „World War C: Understanding Nation-State Motives Behind Today’s Advanced Cyber Attacks” (Wojna światowa C — motywy kierujące państwami przeprowadzającymi zaawansowane cyberataki we współczesnym świecie). Dokument zawiera również omówienie przyszłych zmian w świecie cyberzagrożeń, w tym pojawienia się nowych uczestników walki międzypaństwowej.
• Specjaliści z FireEye Labs przedstawili zarys nowych ataków przeprowadzonych z użyciem Poison Ivy, złośliwego narzędzia umożliwiającego dostęp zdalny (ang. Remote Access Tool — RAT), które wykorzystano do kradzieży danych RSA SecurID
  w 2011 r. Narzędzia RAT nie wymagają większych umiejętności technicznych i są szczególnie niebezpieczne, ponieważ zapewniają nieograniczony dostęp do zaatakowanych maszyn. Często stanowią również kluczowy element skoordynowanych ataków typu zero-day, które bazują na nieznanych wcześniej błędach w oprogramowaniu i sprytnych socjotechnikach. W oparciu o narzędzia zabezpieczające open source firma FireEye wprowadziła również na rynek Calamine — bezpłatny zestaw narzędzi, który pomoże firmom wykrywać i monitorować infekcje Poison Ivy.
• Zespół FireEye Labs wykrył kampanię hakerską wykorzystującą nowy eksploit CVE-2013-383, o którym na początku września poinformowała firma Microsoft. Kampania ta, nazwana „Operation Deputy Dog”, rozpoczęła się już 19 sierpnia 2013 r. i wydaje się być skierowana na firmy i instytucje w Japonii. Analizy oparte na klastrze FireEye Dynamic Threat Intelligence dowodzą, że w swoich działaniach cyberprzestępcy wykorzystali infrastrukturę kontroli i zarządzania C&C (command & control) podobną do infrastruktury użytej w ataku na Bit9.
• Analitycy udostępnili nowe, szczegółowe informacje na temat działalności hakerów odpowiedzialnych za włamanie do sieci komputerowej gazety New York Times w grudniu 2012 r. Firma Mandiant, która jest partnerem technologicznym FireEye, zidentyfikowała atakujących jako członków operacji szpiegowskiej realizowanej w Chinach na olbrzymią skalę. W atakach wykrytych na początku sierpnia przestępcy wykorzystali prawdopodobnie nowe i udoskonalone wersje swojego szkodliwego oprogramowania.
• Dział FireEye Labs ujawnił klasę zagrożeń mobilnych w popularnej bibliotece reklam dostępnej w wielu aplikacjach stworzonych z myślą o systemie Android™, które pobrano ponad 200 mln razy. Biblioteka ta gromadzi poufne dane użytkownika, a ponadto potrafi wykonywać niebezpieczne operacje, takie jak pobieranie nowych komponentów na żądanie oraz ich uruchamianie. Zawiera również wiele luk, które cyberprzestępcy wykorzystują do kierowania agresywnych zachowań biblioteki przeciwko użytkownikom. Od czasu jej wykrycia ze sklepów z aplikacjami Google usunięto wiele aplikacji, inne zaktualizowały natomiast bibliotekę reklam na najnowszą wersję, w której wyeliminowano wiele problemów z bezpieczeństwem.

autor: Cezary Tchorek-Helm