全球最大的网络安全公司之一FireEye(火眼)昨天披露遭遇黑客入侵,黑客成功窃取了FireEye渗透测试客户网络的黑客工具。
FireEye是一家全球知名的网络安全公司,成立于2004年,总部位于加利福尼亚州的米尔皮塔斯。它在103个国家/地区拥有超过8,500多家客户,全球员工超过3200多名。作为一家公开上市的美国网络安全公司,FireEye提供用于应对高级网络威胁的自动威胁取证及动态恶意软件防护服务,如高级持续性威胁(APT)和鱼叉式网络钓鱼。
FireEye也是第一家由美国国土安全部颁发认证的网络安全公司,拥有大量美国关键基础设施和政府部门客户。
在昨天的新闻发布中,FireEye首席执行官Kevin Mandia表示,攻击者还搜索了与该公司某些政府客户有关的信息。
作为APT高级威胁防御的领军企业,FireEye此次被APT黑客组织入侵,对于拜登正在打造的美国国家网络空间安全新战略以及全球网络安全行业都产生了不小的震动。
“核武泄露”
据悉,黑客窃取的RedEye客户评估工具是FireEye公司的武器库中,用来(渗透)测试和评估客户安全性,可模仿许多黑客工具的“大杀器”。
Mandia指出:“在迄今为止的调查中,我们发现攻击者主要针对并访问了某些Red Team评估工具,这些工具用于测试客户的安全性。”
“(失窃)工具不包含零日漏洞利用。与我们保护社区的目标一致,我们正在积极发布方法和手段来检测盗用的Red Team工具的使用。”
FireEye在其公司博客的文章中说:被盗工具数量大、范围广,从用于自动化侦查的简单脚本到类似于CobaltStrike和Metasploit等公开可用技术的整个框架”。
但是,其中许多工具已经被安全社区广泛采用,或者作为FireEye CommandoVM开源虚拟机的一部分进行了分发。
根据事件发生以来收集的信息,尚未发现有人在野外使用被盗Red Team工具,并且FireEye已采取措施以防止这些工具将来被用于实施攻击,FireEye表示:
- 我们已经准备了对策,可以检测或阻止使用被盗的Red Team工具。
- 我们在安全产品中实施了对策。
- 我们正在与安全社区的同事共享这些对策,以便他们可以更新其安全工具。
- 我们正在GitHub上公开提供对策。
- 当Red Team工具公开或直接与我们的安全合作伙伴一起使用时,我们将继续共享和完善对Red Team工具的其他缓解措施。
FireEye在其GitHub账户上共享了危害指标(IOC)和反措施(https://github.com/fireeye/red_team_tool_countermeasures)。FireEye提供的GitHub存储库包含Snort和Yara规则的列表,这些数据将帮助其他公司检测黑客是否使用了FireEye的任何被盗工具来破坏其网络。
国家黑客,有备而来?
FireEye首席执行官兼董事会主席Kevin Mandia在提交给SEC的文件中说:“最近,我们受到了APT组织的攻击,其纪律、操作安全和技术使我们相信这是国家资助的攻击。”
“基于我25年的网络安全经验和对事件的响应,我得出结论,我们目睹了一个拥有一流进攻能力的国家的袭击。”
“这种攻击不同于多年来我们应对的数万起事件。攻击者专门针对FireEye量身定制了世界一流的攻击策略和技术。”
显然,入侵FireEye的攻击者是有备而来,而且专门针对FireEye的关键资产,并且使用了对抗取证和检测的安全工具和策略。
据悉,FireEye仍在与联邦调查局和微软等安全合作伙伴合作调查网络攻击。
到目前为止,对攻击的初步分析支持了FireEye的结论,即FireEye是“使用新技术的高度复杂的,由国家资助的攻击者”的受害者。
据华盛顿邮报报道,消息人士称FireEye安全漏洞背后的国家黑客组织是俄罗斯网络间谍组织APT29(又名“舒适熊”)。
政府客户数据是否泄露?
FireEye确认,在攻击过程中,攻击者成功访问了FireEye的内部系统,还试图收集有关政府客户的信息。但FireEye否认政府客户的数据发生泄露。
“虽然攻击者能够访问我们的某些内部系统,但就目前调查的结果来看,我们没有发现攻击者从主要系统中窃取数据的证据,这些数据包括由我们的产品收集到我们的动态威胁情报系统中的事件响应或咨询活动中的客户信息或元数据。”Mandia在FireEye的公司博客中解释说。
12月9日,美国东部时间04:41,FBI网络部助理总监就正在进行的对FireEye黑客的调查发表了声明,确认攻击者使用的复杂技术符合国家黑客组织特征:
该组织与2014年对德国、韩国、乌兹别克斯坦和美国商业与政府实体的攻击有关联,攻击对象包括五角大楼、民主党全国委员会以及美国国务院和白宫。
最后,值得警惕的是,网络安全公司被黑客攻击并非新鲜事。趋势科技和赛门铁克在2019年、Avast在2019年和2017年、卡巴斯基在2015年,以及RSA安全早在2011年都曾遭遇黑客入侵。安全牛在《几乎所有网络安全公司都在泄露敏感数据》一文中,也报道过当前不少网络安全公司自身的安全意识水平和信息泄露状况非常糟糕,已经成为黑客供应链攻击的目标。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】