聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

火眼公司自称被黑，表示 “高度复杂的威胁行动者“访问了其内网且用于测试客户网络的红队工具被盗。

政府客户信息和红队工具失窃

火眼公司首席执行官 Kevin Mandia 在新闻发布会上指出，威胁行动者还搜索了和某些政府客户相关的信息。他将这次攻击描述为“高度复杂的威胁行动者，从组织纪律性、运营安全性和技术方面来看，公司受到国家黑客的攻击。“ 他表示，“从我25年的网络安全经验和事件响应经验来看，我认为我们遭受的攻击源自具有高阶进攻能力的国家。该攻击不同于之前响应的数万起事件。攻击者定制了针对攻击火眼公司的世界级能力。他们在运营安全方面训练有素，组织纪律性高，集中力强，他们行动隐秘，使用了应对安全工具和取证检查的多种方法。他们所使用的技术组合是前所未有的。”

Mandia 指出，“红队工具中均不包含 0day exploit。秉持着保护社区安全的目标，我们正在主动发布用于检测失窃红队工具使用的方法。被盗工具包括用于自动化侦察类似于已公开技术如 CobaltStrike 和 Metasploit 的整个框架。”不过这些失窃工具很多已经向更广的安全社区开放或者是火眼公司开源虚拟机 CommandoVM 的一部分。火眼公司指出，无法确定攻击者意在使用这些红队工具，还是公开披露这些工具。

获微软证实

火眼公司表示，它对攻击的评估得到了协助开展调查的微软公司的证实。FBI 也正在调查此事。由于火眼公司认为攻击者染指了自定义渗透测试工具，因此目前在 GitHub 账户上分享了 IOC 和应对措施 (https://github.com/fireeye/red_team_tool_countermeasures/blob/master/CVEs_red_team_tools.md)。GitHub 数据有助于其它公司检测黑客是否使用了其中的被盗工具攻陷其网络。

虽然这一消息令人担心，但火眼公司并非第一个遭国家黑客攻击的主流安全厂商。卡巴斯基（2015年）、RSA 安全（2011年）、Avast （2017年和2019年）。

因担心自己可能是下一次攻击的目标，因此多数网络安全专业人员对火眼公司表达支持并赞赏该公司做出的快速披露，另外希望并要求企业采取真正有效的措施保护系统的安全，不过这个案例也表明了阻止意志坚定的国家黑客的困难所在。

APT 29 是幕后黑手？

华盛顿邮报报道称，此次攻击的幕后黑手极有可能是俄罗斯国家黑客组织 APT 29。虽然火眼公司并未说明幕后黑手的身份，但鉴于 FBI 将此案转给俄罗斯方面的专家，因此可以判断该APT 组织和俄罗斯情报机构有关。

攻击者创建了数千个互联网协议地址，很多都位于美国境内，而这些地址都是此前未曾见过的。攻击者利用这些地址发动攻击，更好地隐藏自己的身份。

华盛顿邮报认为这次攻击可能是APT 组织展开的报复行动。火眼公司曾多次指出俄罗斯军事情报机构格鲁乌是攻击乌克兰电网和美国都市的幕后黑手，以及率先指出俄罗斯黑客发动攻击，成功破解沙特石化工厂的工业安全锁，成为触发爆炸的最后一步。

推荐阅读

火眼公司发布公开漏洞奖励计划

火眼报告称2019年新出现500个新型恶意软件

原文链接

https://www.zdnet.com/article/fireeye-one-of-the-worlds-largest-security-firms-discloses-security-breach/

https://www.bleepingcomputer.com/news/security/fireeye-reveals-that-it-was-hacked-by-a-nation-state-apt-group/

https://www.nytimes.com/2020/12/08/technology/fireeye-hacked-russians.html

https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~