美國頂級安全公司遭國家黑客攻擊，網絡武器庫失竊

全球最大的網絡安全公司之一FireEye（火眼）于12月8日透露，其内部網絡被某個“擁有一流網絡攻擊能力的國家”（黑客）突破。

FireEye是一家全球知名的網絡安全公司，成立于2004年，總部位于加利福尼亞州的米爾皮塔斯。它在103個國家/地區擁有超過8,500多家客戶，全球員工超過3200多名。作為一家公開上市的美國網絡安全公司，FireEye提供用于應對進階網絡威脅的自動威脅驗證及動态惡意軟體防護服務，如進階持續性威脅（APT）和魚叉式網絡釣魚。

FireEye也是第一家由美國國土安全部頒發認證的網絡安全公司，擁有大量美國關鍵基礎設施和政府部門客戶。

在昨天的新聞釋出中，FireEye首席執行官Kevin Mandia表示，攻擊者還搜尋了與該公司某些政府客戶有關的資訊。

多年以來，網絡安全廠商FireEye一直在幫助全球各地的政府機構與企業盡早發現攻擊迹象、應對高水準攻擊行動并預防黑客攻擊事态。但現在看來，黑客一方也在采取報複措施。

網絡武器庫洩露，影響堪比方程式被黑

這家市值高達35億美元的安全公司，一直在依靠揪出各類安全違規事件的幕後黑手來賺取利潤。

從本質上講，紅隊工具是一種網絡武器庫，能夠複制全球最複雜的黑客攻擊方法。在企業或政府機構客戶的允許下，FireEye會使用這些工具查找對方系統中的漏洞。目前大多數工具都被儲存在由FireEye密切監控的數字保險庫當中。

安全人士認為，火眼被入侵事件可謂是本年度安全行業最重大的事件，其影響堪比NSA 的方程式組織（ Equation Group ）被入侵。黑客方面一舉奪取了FireEye所使用的網絡武器庫，可被用于在世界範圍内發起新的攻擊。這讓 FireEye 所面臨的巨大挑戰。

由于事關重大，FireEye在本周二發現事件後不久，就将情況通報給FBI方面。

洩露或引發攻擊者濫用

黑客使用“全新技術”竊取了FireEye掌握的安全工具套件，這也可能成為全球新一波攻擊浪潮的起點。

此次外洩的紅隊工具主要由惡意軟體構成，供FireEye進行各類攻擊模拟。這批工具有着巨大的價值，民族國家完全可以借此發動攻擊并隐藏行迹。

前NSA網安專家、現任軟體公司Jamf首席安全研究員的Patrick Wardle表示，“黑客可以利用FireEye的工具，以合理的方式大肆入侵各類高風險、高知名度目标。直接借用FireEye的工具，能夠推遲其亮出獨門絕技并降低由此導緻身份暴露的可能性。”

FireEye已采取措施以防止這些工具将來被用于實施攻擊

根據事件發生以來收集的資訊，尚未發現有人在野外使用被盜Red Team工具，并且FireEye已采取措施以防止這些工具将來被用于實施攻擊，FireEye表示：

我們已經準備了對策，可以檢測或阻止使用被盜的Red Team工具。

我們在安全産品中實施了對策。

我們正在與安全社群的同僚共享這些對策，以便他們可以更新其安全工具。

我們正在GitHub上公開提供對策。

當Red Team工具公開或直接與我們的安全合作夥伴一起使用時，我們将繼續共享和完善對Red Team工具的其他緩解措施。

FireEye在其GitHub賬戶上共享了危害名額（IOC）和反措施（https://github.com/fireeye/red_team_tool_countermeasures）。FireEye提供的GitHub存儲庫包含Snort和Yara規則的清單，這些資料将幫助其他公司檢測黑客是否使用了FireEye的任何被盜工具來破壞其網絡。FireEye還釋出了其紅隊工具中的不少關鍵元素，目的是幫助各潛在目标準确判斷後續攻擊活動的走勢。

黑客有備而來，FireEye仍在繼續調查

針對FireEye的攻擊很可能是一種報複行為。對FireEye而言，此次攻擊則堪稱奇恥大辱。在2014年遭受毀滅性攻擊之後，該公司調查人員與索尼開展合作，最終将事件歸因于北韓。2015年美國國務院及其他多個政府部門遭受俄羅斯攻擊後，FireEye同樣受命調查。三年之前因黑客入侵導緻美國近半數人口信用監管資料洩露的Equifax案，也有FireEye的參與。正是擁有如此輝煌的戰績，才讓FireEye對這次事件特别難以接受。

在本輪攻擊中，黑客竭盡所能隐藏起自己的行迹。他們建立了數千個網際網路協定位址，其中不少是美國本土位址，而且此前從未被用于實際攻擊。利用這些位址，黑客幾乎可以徹底隐藏在燈影之下。

FireEye公司首席執行官Kevin Mandia指出，“此次攻擊與多年以來我們應對過的無數安全事件都不相同。”

FireEye方面坦言，由于嚴重缺乏細節線索，他們仍在調查黑客究竟如何突破其嚴密防線。

曾任美國空軍情報官員的Mandia表示，攻擊者“量身定制了一套世界一流的攻擊體系，專門用于針對FireEye。”攻擊方似乎在“行動安全”方面接受過嚴格的訓練，表現出極強的“紀律性與專注度”，同時秘密行事以逃避安全工具及驗證檢查的檢測。谷歌、微軟及其他參與網絡安全調查的企業也表示，其中涉及不少此前從未出現過的技術。

輿論懷疑為俄羅斯國家黑客所為

FireEye首席執行官兼董事會主席Kevin Mandia在送出給SEC的檔案中說：“最近，我們受到了APT組織的攻擊，其紀律、操作安全和技術使我們相信這是國家資助的攻擊。”

FireEye拒絕透露攻擊的幕後黑手，隻表示攻擊目标指向的是FireEye掌握的“Red Team/紅隊工具”。目前也不清楚俄羅斯方面是否在FireEye突破戰中也使用到這一技術。

據華盛頓郵報報道，消息人士稱FireEye安全漏洞背後的國家黑客組織是俄羅斯網絡間諜組織APT29（又名“舒适熊”）。

美國調查人員還試圖确定此次攻擊是否與NSA本周一披露的另一樁俄羅斯攻擊活動有關。在該事件中，俄羅斯方面将矛頭指向國防企業及制造商所廣泛使用的一大核心軟體——虛拟機。

該公司調查人員此前曾多次揭露，俄羅斯軍事情報部門GRU、SVR、以及前蘇聯時期KGB的繼任機構FSB針對烏克蘭及美國政府當局發起的嚴重黑客攻擊。此外，在沙特石化廠工業安全鎖被網絡攻擊破壞之後，也是FireEye首先發現事件背後很可能是俄羅斯黑客在作祟。（本文出自SCA安全通信聯盟，轉載請注明出處。）