FireEye于12月8日透露,其內(nèi)部網(wǎng)絡(luò)被某個“擁有一流網(wǎng)絡(luò)攻擊能力的國家”所突破。該公司解釋稱,黑客使用“全新技術(shù)”竊取了FireEye掌握的安全工具套件,這也可能成為全球新一波攻擊浪潮的起點。
多年以來,網(wǎng)絡(luò)安全廠商FireEye一直在幫助全球各地的政府機構(gòu)與企業(yè)盡早發(fā)現(xiàn)攻擊跡象、應(yīng)對高水平攻擊行動并預(yù)防黑客攻擊事態(tài)。但現(xiàn)在看來,黑客一方也在采取報復(fù)措施。
在這場驚人的網(wǎng)絡(luò)盜竊案中,黑客方面一舉奪取了FireEye所使用的網(wǎng)絡(luò)武器庫,可被用于在世界范圍內(nèi)發(fā)起新的攻擊。由于事關(guān)重大,F(xiàn)ireEye在本周二發(fā)現(xiàn)事件后不久,就將情況通報給FBI方面。
FireEye創(chuàng)始人凱文·曼迪亞(Kevin Mandia)親自發(fā)文稱:
根據(jù)我25年的網(wǎng)絡(luò)安全經(jīng)驗和對事件的響應(yīng),我得出的結(jié)論是,我們目睹了一個擁有一流進攻能力的國家的襲擊。這次攻擊與多年來我們應(yīng)對的成千上萬起事件不同。
攻擊者量身定制了其世界一流的功能,專門針對和攻擊FireEye。他們在操作安全方面接受過嚴格的培訓(xùn),并有紀律和專注地執(zhí)行。他們秘密采取行動,使用對抗安全工具和法醫(yī)檢查的方法。他們使用了我們或我們的合作伙伴過去從未見過的新穎技術(shù)組合。
我們正在與聯(lián)邦調(diào)查局和包括Microsoft在內(nèi)的其他主要合作伙伴進行積極的調(diào)查合作。他們的初步分析支持了我們的結(jié)論,即這是使用新技術(shù)由國家資助的高度復(fù)雜的攻擊者的工作。
在迄今為止的調(diào)查中,我們發(fā)現(xiàn)攻擊者針對并訪問了某些紅隊滲透測試工具,這些工具用于測試客戶的安全性。這些工具模仿了許多網(wǎng)絡(luò)威脅參與者(APT組織)的行為,并使FireEye能夠為我們的客戶提供基本的診斷安全服務(wù)。這些工具都沒有包含0day漏洞。與保護社區(qū)的目標一致,我們正在積極發(fā)布方法和手段來檢測盜用的Red Team工具的使用。
我們不確定攻擊者是否打算使用我們的Red Team工具或公開披露它們。但是,出于謹慎考慮,我們已經(jīng)為客戶和整個社區(qū)開發(fā)了300多種對策,以盡量減少盜竊這些工具的潛在影響。
網(wǎng)絡(luò)武器庫泄露,影響堪比方程式被黑
這家市值高達35億美元的安全公司,一直在依靠揪出各類安全違規(guī)事件的幕后黑手來賺取利潤。FireEye曾先后幫助索尼及Equifax處理安全問題,在行業(yè)內(nèi)享有盛譽。這一次,他們拒絕透露攻擊的幕后黑手,只表示攻擊目標指向的是FireEye掌握的“Red Team/紅隊工具”。
從本質(zhì)上講,紅隊工具是一種網(wǎng)絡(luò)武器庫,能夠復(fù)制全球最復(fù)雜的黑客攻擊方法。在企業(yè)或政府機構(gòu)客戶的允許下,F(xiàn)ireEye會使用這些工具查找對方系統(tǒng)中的漏洞。目前大多數(shù)工具都被保存在由FireEye密切監(jiān)控的數(shù)字保險庫當中。
安全人士認為,火眼被入侵事件可謂是本年度安全行業(yè)最重大的事件,其影響堪比NSA 的方程式組織( Equation Group )被入侵,將使 FireEye 所面臨的巨大挑戰(zhàn)。
FBI懷疑為俄羅斯國家黑客所為
FBI確認稱此次黑客入侵確實屬于國家支持行動,但并沒有挑明具體是哪個國家,但根據(jù)事件描述以及FBI隨后將案件移交給對俄專家的行為,幾乎可以肯定問題出自俄方。FBI網(wǎng)絡(luò)部門副主任Matt Gorham提到,“FBI正在介入調(diào)查。初步跡象表明,攻擊者的攻擊水平與技術(shù)成熟度堪與民族國家比肩。”
此次黑客攻擊很可能是俄羅斯乘機而入之舉,意在利用包括FireEye在內(nèi)的美國各方專注于保護最新一輪總統(tǒng)大選的機會。毫無疑問,就在全美公共及私有情報機構(gòu)都在積極監(jiān)控選民登記系統(tǒng)及投票機的同時,俄羅斯作為很可能曾在2016年大選期間有所行動的外國勢力,自然不會坐失良機。
泄露或引發(fā)攻擊者濫用
自從2016年美國國家安全局(NSA)的網(wǎng)絡(luò)安全工具被某神秘組織(自稱為「影子經(jīng)紀人」,其身份至今未被識破)竊取以來,本輪黑客入侵成為已被發(fā)現(xiàn)的最大規(guī)模網(wǎng)絡(luò)武器盜竊事件。過去幾個月來,影子經(jīng)紀人在網(wǎng)上發(fā)布大量NSA黑客工具,相當于把美國向來引以為傲的“數(shù)字王國之鑰”交給了民族國家與黑客組織。最終,朝鮮與俄羅斯使用這批武器對全球各大企業(yè)集團、醫(yī)院及政府機構(gòu)發(fā)動破壞性攻擊,造成的損失超過100億美元。
作為美國政府專門打造的獨門數(shù)字武器,NSA的工具儲備可能比FireEye的更強大。相比之下,此次外泄的紅隊工具主要由惡意軟件構(gòu)成,供FireEye進行各類攻擊模擬。
盡管如此,這批工具仍有著巨大的價值,民族國家完全可以借此發(fā)動攻擊并隱藏行跡。
前NSA網(wǎng)安專家、現(xiàn)任軟件公司Jamf首席安全研究員的Patrick Wardle表示,“黑客可以利用FireEye的工具,以合理的方式大肆入侵各類高風(fēng)險、高知名度目標。在風(fēng)險較高的環(huán)境當中,攻擊方當然不想動用自己的核心工具儲備。直接借用FireEye的工具,能夠推遲其亮出獨門絕技并降低由此導(dǎo)致身份暴露的可能性。”
某個國家贊助的黑客組織此前曾在全球攻擊活動中使用NSA黑客工具,要不是最終在其儲備庫中發(fā)現(xiàn)了NSA工具,真相恐怕永遠無法昭示。Wardle指出,“借用他人的工具確實是種既簡單又有效的攻擊方法?!?/p>
FireEye仍在繼續(xù)調(diào)查
對FireEye而言,此次攻擊則堪稱奇恥大辱。在2014年遭受毀滅性攻擊之后,該公司調(diào)查人員與索尼開展合作,最終將事件歸因于朝鮮。2015年美國國務(wù)院及其他多個政府部門遭受俄羅斯攻擊后,F(xiàn)ireEye同樣受命調(diào)查。三年之前因黑客入侵導(dǎo)致美國近半數(shù)人口信用監(jiān)管資料泄露的Equifax案,也有FireEye的參與。正是擁有如此輝煌的戰(zhàn)績,才讓FireEye對這次事件特別難以接受。
在本輪攻擊中,黑客竭盡所能隱藏起自己的行跡。他們創(chuàng)建了數(shù)千個互聯(lián)網(wǎng)協(xié)議地址,其中不少是美國本土地址,而且此前從未被用于實際攻擊。利用這些地址,黑客幾乎可以徹底隱藏在燈影之下。
FireEye公司首席執(zhí)行官Kevin Mandia指出,“此次攻擊與多年以來我們應(yīng)對過的無數(shù)安全事件都不相同。”
FireEye方面坦言,由于嚴重缺乏細節(jié)線索,他們?nèi)栽谡{(diào)查黑客究竟如何突破其嚴密防線。
曾任美國空軍情報官員的Mandia表示,攻擊者“量身定制了一套世界一流的攻擊體系,專門用于針對FireEye。”攻擊方似乎在“行動安全”方面接受過嚴格的訓(xùn)練,表現(xiàn)出極強的“紀律性與專注度”,同時秘密行事以逃避安全工具及取證檢查的檢測。谷歌、微軟及其他參與網(wǎng)絡(luò)安全調(diào)查的企業(yè)也表示,其中涉及不少此前從未出現(xiàn)過的技術(shù)。
FireEye還發(fā)布了其紅隊工具中的不少關(guān)鍵元素,幫助各潛在目標準確判斷后續(xù)攻擊活動的走勢。
美國調(diào)查人員還試圖確定此次攻擊是否與NSA本周一披露的另一樁俄羅斯攻擊活動有關(guān)。在該事件中,俄羅斯方面將矛頭指向國防企業(yè)及制造商所廣泛使用的一大核心軟件——虛擬機。NSA拒絕透露攻擊的具體目標,目前也不清楚俄羅斯方面是否在FireEye突破戰(zhàn)中也使用到這一技術(shù)。
針對FireEye的攻擊很可能是一種報復(fù)行為。該公司調(diào)查人員此前曾多次揭露,俄羅斯軍事情報部門GRU、SVR、以及前蘇聯(lián)時期KGB的繼任機構(gòu)FSB針對烏克蘭及美國政府當局發(fā)起的嚴重黑客攻擊。此外,在沙特石化廠工業(yè)安全鎖被網(wǎng)絡(luò)攻擊破壞之后,也是FireEye首先發(fā)現(xiàn)事件背后很可能是俄羅斯黑客在作祟。
行業(yè)專家評論
華盛頓戰(zhàn)略與國際研究中心的網(wǎng)絡(luò)安全專家James A. Lewis提到,“俄羅斯有很強的報復(fù)心理。幾乎在一夜之間,F(xiàn)ireEye的客戶開始人人自危。”
本周二,俄羅斯國家國際信息安全協(xié)會與全球安全專家召開了一場論壇,俄羅斯官員再次聲稱,美國提出的制裁與指控缺乏實質(zhì)性證據(jù)的支持。
事實上,安全企業(yè)一直是民族國家與黑客團伙的主要攻擊目標之一,部分原因在于其安全工具往往能夠?qū)θ蚱髽I(yè)及政府客戶發(fā)起深度訪問。通過入侵這些工具并竊取源代碼,間諜及黑客將在受害者的系統(tǒng)中找到駐留點。
作為重量級安全廠商,McAfee、賽門鐵克以及Trend Micro的代碼于去年遭到某使用憑證的黑客團伙的劫持。2017年,俄羅斯安全廠商卡巴斯基遭到以色列黑客攻擊。2012年,賽門鐵克還曾確認其一部分反病毒源代碼遭到黑客竊取。