FireEye遭到國家支持的駭客入侵 紅隊測試工具遭竊

知名資安軟體業者FireEye昨日公告遭駭,種種跡象顯示作案的是由國家支持的駭客組織。

知名資安軟體業者FireEye昨日公告遭駭,種種跡象顯示作案的是由國家支持的駭客組織。

攻擊者成功竊走FireEye用來測試客戶環境安全及模仿駭客使用的工具的紅隊評估工具(Red Team assessment tool),並試著尋找政府客戶的相關資料。

FireEye執行長暨董事長Kevin Mandia本周在對證管會提交的文件指出,該公司近日遭到一個手法高超的組織攻擊,根據該組織展現的紀律、作業安全的了解,以及使用的手法研判,他們相信這是一樁國家支持的駭客攻擊。

Mandia指出,「以我25年的資安及事件回應經驗判斷,我相信我們目睹了一個以最頂尖侵犯能力的國家發動的攻擊。」

攻擊者似乎是瞄準FireEye的資產,並使用高超的技巧躲過該公司的鑑識檢證及偵測惡意活動的安全工具。

目前FireEye已和聯邦調查局及第三方安全商如微軟合作調查此事。

初步分析顯示,攻擊者目標是FireEye的特定紅隊評估工具,而且也成功存取。被竊的工具包含「用於自動化偵察的簡單script,到類似公開工具如CobaltStrike及Metasploit的整個框架」,但Mandia表示這套工具不包含零時差攻擊程式。

但其中許多其實已在安全社群間或透過FireEye的CommandoVM的開放原始碼VM中流傳在外。

FireEye表示,由於事發後FireEye已經採取措施,防止工具被濫用,因此他們目前沒有發現被竊的紅隊評估工具被拿來攻擊。該公司也採取措施以防未來攻擊,包括準備好可偵測或防堵該紅隊評估工具,並將這些措施實作在其安全產品中。他們已將這些分享給安全業界以便用於更新他們的產品,也會持續分享該套工具的防禦資訊。

目前FireEye已將這些資源,包括偵測惡意程式的Snort、Yara rule、威脅入侵指標(IoC)等公佈在GitHub平台上,供安全專家取用。

另外,FireEye也發現,攻擊者也試圖蒐集政府客戶資訊,並成功存取部份FireEye內部系統。但是截至目前為止還沒有發現主要系統儲存的事件回應或顧問服務的客戶資料,以及動態威脅情報系統產品蒐集而來的metadata則沒有外洩情形。

FireEye創立於2004年,總部位於加州,員工有3,200多名,客戶超過8,500多家,遍佈103國。

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2021 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416