网络安全公司FireEye在打击国家网络威胁方面表现突出,但它自己却遭到了黑客组织的攻击。该公司首席执行官Kevin Mandia在周二表示:“这是一个高度复杂的攻击组织,它拥有严格的纪律、顶尖的安全运营和技术。”
这表明这次袭击很可能是由国家赞助的,由某个“拥有一流网络攻击能力的国家”所发起。
FireEye 正在与联邦调查局和其他主要合作伙伴(包括微软)一起调查这一事件。
FireEye在去年加入了微软智能安全协会 (MISA),这是一个独立软件供应商生态系统,他们集成了现有的解决方案,以提高网络安全。
FBI网络司助理局长Matt Gorham在报道中表示:“初步迹象表明,攻击者的攻击水平与技术成熟度可以与国家级技术比肩。”
微软表示,它正在协助调查,并指出,黑客使用了非常罕见的技术组合来窃取FireEye的资料。
微软在一份被广泛报道的声明中表示:“这一事件说明了为什么安全行业必须共同努力,以防御和应对资金雄厚的对手使用新颖而复杂的攻击技术所造成的威胁。”
Mandia指出:“显然黑客为FireEye定制了一套极具针对性的攻击方案,并经过了高强度的安全作战训练,严格执行纪律。他们的操作非常隐秘,使用了我们以及我们的合作伙伴过去从未目睹过的新技术。”
Netwrix产品管理副总裁Ilia Sotnikov告诉TechNewsWorld:“这次攻击更加证明了一个有着强烈动机的黑客能够危害任何组织,不管这个组织受到多么好的保护。”
“红队(Red Team)”工具泄露
目前还不清楚黑客们的最终目的。
Mandia表示,FireEye有几个政府客户,而黑客们主要搜寻的是某些与FireEye政府客户有关的信息,这与国家的间谍活动一致。
黑客访问了 FireEye 的一些内部系统,但到目前为止,没有证据表明任何数据或元数据被盗。
另一方面,FireEye在12月8日向美国证券交易委员会提交的8-K报告中称,黑客瞄准并访问了“某些红队(Red Team)评估工具”,这些工具模仿许多网络威胁行为者的行为,并被用来测试FireEye客户的安全。
这个工具不包含零日漏洞攻击,即对硬件或软件漏洞的攻击,除了漏洞发现者,没有人知道其存在。
FireEye 表示:“我们不确定攻击者是否打算使用我们的红队工具或公开披露这些工具。”
Sotnikov指出:“假设被盗的FireEye红队工具将被使用以创建一种恶意软件,该恶意软件将利用常见漏洞或调整现有恶意软件,从而更高效地绕过网络防御。”
FireEye 迄今没有看到任何证据表明任何攻击者使用了被盗工具,但出于谨慎态度,他们仍然为被盗的红队工具制定了 300 多个应对方案。
这些已经在公司的 GitHub 页面上公开发布。该公司还将这些对策落实到其安全产品中。
Mandia表示:“我们的首要任务是努力加强我们的客户和广大社区的安全。我们希望,通过分享我们调查的细节,让整个社区将更好地为打击和击败网络攻击做好准备。”
FireEye 和安全社区中的其他人将继续留意被盗工具的使用情况。
一旦这些工具被使用,该公司将公开或直接与其安全合作伙伴共享和改进任何额外的缓解措施。
鉴于FireEye已经开发了300种对策,并将它们整合到其安全产品中,因此这次攻击肯定发生在几个月前。
然而,FireEye的Melanie Lombardi拒绝与TechNewsWorld分享有关黑客攻击的更多细节。
黑客所造成的影响
Netwrix 的Sotnikov表示:“FireEye 被黑事件并不是第一个发生在网络安全公司的攻击事件,但它对世界各地的组织将产生长期影响。虽然不能与2017年Shadow Brokers泄露美国国家安全局黑客工具的影响进行直接比较,但这次的攻击也会让更多不那么老练的网络罪犯获得先进的攻击工具和技术。”
Shadow Brokers是一个黑客组织,它造成了美国国家安全局开发的黑客工具的数次泄露。
Sotnikov建议:“供应商应立即利用 FireEye 团队提供的对策,分析公司 GitHub 存储库上发布的检测结果。组织应留意安全工具以及其他系统和应用程序的更新,以降低可能的风险,并考虑立即进行修补。使用被盗的红队工具进行攻击的风险相当之高。”
FireEye的股价在今天报道被攻击后,于收盘前下跌了 13% 。