全球最大安全软件公司之一FireEye昨(8)日公布近日遭到疑似国家支持的黑客攻击,造成该公司提供安全测试的工具,以及部分客户资料外泄。
FireEye首席执行官Kevin Mandia指出,分析攻击手法显示黑客对作业环境安全有深厚知识,且行动精准而自制。他们运用多种方法使安全工具及鉴识分析无从发现他们的行踪,有些更是安全业界前所未见的新手法,显示为国家支持的黑客组织。
攻击行动稍早由微软证实,目前FireEye已经协同联邦调查局及微软进行调查。
初步调查显示,黑客目标在FireEye用来测试企业环境安全的特定红队评估工具。这类工具会模仿网络黑客的行为进行攻击,供安全厂商评估安全缺失并对症下药。而攻击者也成功访问了这些工具。
Mandia指出,这套红队测试工具中没有零时差攻击程序,目前也还没看到这项工具被拿来攻击其他组织,但为防患未然,FireEye已经发展了超过300个反制措施,包括威胁情报共享框架OpenIOC、恶意程序特征Yara、入侵侦测工具Snort及ClamAV,用来侦测或封锁这套工具的攻击,也将这些措施内置到其产品中。FireEye也将这些措施分享给合作的安全厂商,并在GitHub上公开。FireEye表示之后会再分享出该工具的其他防范方法。
FireEye相信,黑客主要在寻找特定政府客户的资料,并且也成功访问“部分”内部系统。但FireEye强调,主要系统,包括紧急应变及顾问服务客户信息系统,以及产品搜集的metadata系统都没有发生资料外泄。
安全厂商因为拥有大量企业资料及可用于作恶的工具,被黑时所有闻,包括RSA、Avast及卡巴斯基都曾经遭到黑客攻击。