全球最大网络安全公司之一FireEye昨日披露遭黑客攻击,黑客成功窃取FireEye渗透测试客户网络的黑客工具。FireEye是一家全球知名的网络安全公司,成立于2004年,总部位于加州米尔皮塔斯。它在103个国家/地区拥有8,500多家客户,在全球拥有3,200多名员工。FireEye是一家上市的美国网络安全公司,提供自动威胁取证和动态恶意软件保护,以抵御高级网络威胁,例如高级持续威胁(APT)和鱼叉式网络钓鱼。FireEye也是第一家获得美国国土安全部认证的网络安全公司,拥有大量美国关键基础设施和政府部门客户。在昨天的一份新闻稿中,FireEye首席执行官凯文·曼迪亚(KevinMandia)表示,攻击者还搜索了与该公司部分政府客户相关的信息。作为APT高级威胁防御领域的领导者,FireEye此次遭到APT黑客组织的黑客攻击,对拜登正在打造的美国新国家网络空间安全战略以及全球网络安全行业造成了不小的震动。“核武器泄密”据悉,被黑客窃取的RedEye客户评估工具就在FireEye的武器库中,用于(渗透)测试和评估客户安全,可以模仿众多黑客工具的“大杀器”。“在我们迄今为止的调查中,我们发现攻击者主要针对并访问了某些红队评估工具,这些工具用于测试客户的安全性,”Mandia指出。“(被盗)工具不包含零日漏洞。与我们保护社区的目标一致,我们正在积极发布方法和手段来检测被盗红队工具的使用情况。”FireEye在其公司博客的一篇帖子中表示:被盗工具数量庞大且范围广泛,从自动化从简单的脚本到类似于CobaltStrike和Metasploit等公开可用技术的整个框架的侦察”。然而,其中许多工具已被安全社区广泛采用或作为FireEyeCommandoVM开源虚拟机的一部分进行分发。根据事件发生后收集到的信息,没有看到有人在野外使用被盗的红队工具,并且FireEye已经采取措施防止这些工具在未来被用来进行攻击,FireEye说:我们已经准备好了反制措施,可以检测或防止使用被盗的红队工具。我们已经在我们的安全产品中实施了反制措施。我们正在与安全社区的同事分享这些对策,以便他们可以更新他们的安全工具。我们正在GitHub上公开提供对策。当红队工具公开或直接与我们的安全合作伙伴分享和完善额外的缓解措施时,我们将继续分享和完善这些缓解措施。FireEye在其GitHub帐户(https://github.com/fireeye/red_team_tool_countermeasures)上分享了妥协指标(IOC)和对策。FireEye提供的GitHub存储库包含Snort和Yara规则列表,这些数据将帮助其他公司检测黑客是否使用了FireEye的任何被盗工具来破坏他们的网络。民族国家黑客,准备好了吗?“最近,我们遭到了一个APT组织的攻击,其纪律、操作安全和技术使我们相信这是受资助的攻击。”“根据我25年的网络安全经验和对事件的响应,我得出结论,我们正在目睹一次攻击由一个具有一流攻击能力的民族国家发起。”“这次袭击不同于我们多年来处理过的数以万计的事件。攻击者专门为FireEye量身定制了世界级的攻击策略和技术。”显然,入侵FireEye的攻击者是有备而来,针对FireEye的关键资产,使用对抗取证和安全工具和策略进行检测。据悉,FireEye仍在与FBI和微软等安全合作伙伴合作调查此次网络攻击事件。到目前为止,对该攻击的初步分析支持FireEye的结论,即FireEye是“使用新技术的高度复杂、国家支持的攻击者”的受害者。据《华盛顿邮报》报道,消息人士称,FireEye安全漏洞背后的国家黑客组织是俄罗斯网络间谍组织APT29(又名“ComfortBear”)。政府客户数据是否泄露?FireEye证实,在攻击期间,攻击者设法获得了FireEye内部系统的访问权限,并试图收集有关政府客户的信息。但FireEye否认政府客户的数据已被泄露。“虽然攻击者能够访问我们的一些内部系统,但根据我们目前的调查结果,我们没有发现攻击者从我们的主要系统窃取数据的证据,包括我们产品收集的动态威胁情报。事件响应或咨询活动系统中的客户信息或元数据,”曼迪亚在FireEye的公司博客上解释道。美国东部时间12月9日04:41,美国联邦调查局网络司助理司长就正在进行的调查发表声明FireEye黑客的研究,确认攻击者使用的复杂技术符合国家黑客组织的特征:该组织与2014年针对德国、韩国、乌兹别克斯坦的攻击以及与攻击相关的美国企业和政府实体有关五角大楼、民主党全国委员会、美国国务院和白宫。最后,值得注意的是hacki网络安全公司的增长并不是什么新鲜事。趋势科技和赛门铁克在2019年被黑,Avast在2019年和2017年被黑,卡巴斯基在2015年被黑,RSASecurity在2011年被黑。安全大牛在文章《几乎所有网络安全公司都在泄露敏感数据》中也报道了很多网络安全公司的安全意识水平和信息泄露情况公司很糟糕,已经成为黑客攻击供应链的目标。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此阅读更多作者好文
