全球最大的网络安全公司之一FireEye(火眼)于12月8日透露,其内部网络被某个“拥有一流网络攻击能力的国家”(黑客)突破。
FireEye是一家全球知名的网络安全公司,成立于2004年,总部位于加利福尼亚州的米尔皮塔斯。它在103个国家/地区拥有超过8,500多家客户,全球员工超过3200多名。作为一家公开上市的美国网络安全公司,FireEye提供用于应对高级网络威胁的自动威胁取证及动态恶意软件防护服务,如高级持续性威胁(APT)和鱼叉式网络钓鱼。
FireEye也是第一家由美国国土安全部颁发认证的网络安全公司,拥有大量美国关键基础设施和政府部门客户。
在昨天的新闻发布中,FireEye首席执行官Kevin Mandia表示,攻击者还搜索了与该公司某些政府客户有关的信息。
多年以来,网络安全厂商FireEye一直在帮助全球各地的政府机构与企业尽早发现攻击迹象、应对高水平攻击行动并预防黑客攻击事态。但现在看来,黑客一方也在采取报复措施。
网络武器库泄露,影响堪比方程式被黑
这家市值高达35亿美元的安全公司,一直在依靠揪出各类安全违规事件的幕后黑手来赚取利润。
从本质上讲,红队工具是一种网络武器库,能够复制全球最复杂的黑客攻击方法。在企业或政府机构客户的允许下,FireEye会使用这些工具查找对方系统中的漏洞。目前大多数工具都被保存在由FireEye密切监控的数字保险库当中。
安全人士认为,火眼被入侵事件可谓是本年度安全行业最重大的事件,其影响堪比NSA 的方程式组织( Equation Group )被入侵。黑客方面一举夺取了FireEye所使用的网络武器库,可被用于在世界范围内发起新的攻击。这让 FireEye 所面临的巨大挑战。
由于事关重大,FireEye在本周二发现事件后不久,就将情况通报给FBI方面。
泄露或引发攻击者滥用
黑客使用“全新技术”窃取了FireEye掌握的安全工具套件,这也可能成为全球新一波攻击浪潮的起点。
此次外泄的红队工具主要由恶意软件构成,供FireEye进行各类攻击模拟。这批工具有着巨大的价值,民族国家完全可以借此发动攻击并隐藏行迹。
前NSA网安专家、现任软件公司Jamf首席安全研究员的Patrick Wardle表示,“黑客可以利用FireEye的工具,以合理的方式大肆入侵各类高风险、高知名度目标。直接借用FireEye的工具,能够推迟其亮出独门绝技并降低由此导致身份暴露的可能性。”
FireEye已采取措施以防止这些工具将来被用于实施攻击
根据事件发生以来收集的信息,尚未发现有人在野外使用被盗Red Team工具,并且FireEye已采取措施以防止这些工具将来被用于实施攻击,FireEye表示:
我们已经准备了对策,可以检测或阻止使用被盗的Red Team工具。
我们在安全产品中实施了对策。
我们正在与安全社区的同事共享这些对策,以便他们可以更新其安全工具。
我们正在GitHub上公开提供对策。
当Red Team工具公开或直接与我们的安全合作伙伴一起使用时,我们将继续共享和完善对Red Team工具的其他缓解措施。
FireEye在其GitHub账户上共享了危害指标(IOC)和反措施(https://github.com/fireeye/red_team_tool_countermeasures)。FireEye提供的GitHub存储库包含Snort和Yara规则的列表,这些数据将帮助其他公司检测黑客是否使用了FireEye的任何被盗工具来破坏其网络。FireEye还发布了其红队工具中的不少关键元素,目的是帮助各潜在目标准确判断后续攻击活动的走势。
黑客有备而来,FireEye仍在继续调查
针对FireEye的攻击很可能是一种报复行为。对FireEye而言,此次攻击则堪称奇耻大辱。在2014年遭受毁灭性攻击之后,该公司调查人员与索尼开展合作,最终将事件归因于朝鲜。2015年美国国务院及其他多个政府部门遭受俄罗斯攻击后,FireEye同样受命调查。三年之前因黑客入侵导致美国近半数人口信用监管资料泄露的Equifax案,也有FireEye的参与。正是拥有如此辉煌的战绩,才让FireEye对这次事件特别难以接受。
在本轮攻击中,黑客竭尽所能隐藏起自己的行迹。他们创建了数千个互联网协议地址,其中不少是美国本土地址,而且此前从未被用于实际攻击。利用这些地址,黑客几乎可以彻底隐藏在灯影之下。
FireEye公司首席执行官Kevin Mandia指出,“此次攻击与多年以来我们应对过的无数安全事件都不相同。”
FireEye方面坦言,由于严重缺乏细节线索,他们仍在调查黑客究竟如何突破其严密防线。
曾任美国空军情报官员的Mandia表示,攻击者“量身定制了一套世界一流的攻击体系,专门用于针对FireEye。”攻击方似乎在“行动安全”方面接受过严格的训练,表现出极强的“纪律性与专注度”,同时秘密行事以逃避安全工具及取证检查的检测。谷歌、微软及其他参与网络安全调查的企业也表示,其中涉及不少此前从未出现过的技术。
舆论怀疑为俄罗斯国家黑客所为
FireEye首席执行官兼董事会主席Kevin Mandia在提交给SEC的文件中说:“最近,我们受到了APT组织的攻击,其纪律、操作安全和技术使我们相信这是国家资助的攻击。”
FireEye拒绝透露攻击的幕后黑手,只表示攻击目标指向的是FireEye掌握的“Red Team/红队工具”。目前也不清楚俄罗斯方面是否在FireEye突破战中也使用到这一技术。
据华盛顿邮报报道,消息人士称FireEye安全漏洞背后的国家黑客组织是俄罗斯网络间谍组织APT29(又名“舒适熊”)。
美国调查人员还试图确定此次攻击是否与NSA本周一披露的另一桩俄罗斯攻击活动有关。在该事件中,俄罗斯方面将矛头指向国防企业及制造商所广泛使用的一大核心软件——虚拟机。
该公司调查人员此前曾多次揭露,俄罗斯军事情报部门GRU、SVR、以及前苏联时期KGB的继任机构FSB针对乌克兰及美国政府当局发起的严重黑客攻击。此外,在沙特石化厂工业安全锁被网络攻击破坏之后,也是FireEye首先发现事件背后很可能是俄罗斯黑客在作祟。(本文出自SCA安全通信联盟,转载请注明出处。)
