网络安全公司FireEye遭黑客攻击;红队Pentest工具被盗

全球最大的网络安全公司之一火眼(FireEye)周二表示，它成为了一场由国家支持的攻击的受害者，攻击者是一个“高度老练的威胁行动者”，该行动者偷走了该公司用来测试客户防御的红队(Red Team)渗透测试工具。

该公司表示，正与美国联邦调查局(FBI)以及包括微软在内的其他主要合作伙伴积极调查这起泄密事件。

该公司没有确定可能是幕后主使的具体罪犯，也没有透露黑客攻击发生的具体时间。

然而,《纽约时报》和《华盛顿邮报》报道,美国联邦调查局(FBI)已经在调查其俄罗斯专家和攻击是可能的工作APT29(或舒适的熊)——国家支持的黑客隶属于俄罗斯SVR外国情报服务——援引未具名消息来源。

截至本文撰写时，这些黑客工具还没有被大肆利用，它们也不包含零日利用，尽管拥有这些工具的恶意行为者可以滥用它们来破坏安全屏障，并控制目标系统。

网络安全组织经常使用Red Team工具来模拟现实世界中使用的攻击，目的是评估公司的检测和响应能力，并评估企业系统的安全状况。

该公司表示，攻击者还访问了一些内部系统，主要是寻求有关政府客户的信息，但补充说，没有证据表明攻击者窃取了与事件响应或咨询协议相关的客户信息，或其安全软件收集的元数据。

FireEye首席执行官凯文·曼迪亚(Kevin Mandia)在一篇博客文章中写道:“这次袭击不同于我们多年来应对的数万起事件。”

“攻击者专门定制了他们世界级的能力来瞄准和攻击火眼。他们在行动安全方面受过高度训练，执行时纪律严明，重点突出。他们使用反安全工具和法医检查的方法进行秘密行动。他们使用了一种我们或我们的合作伙伴过去从未见过的新技术组合。”

访问的Red Team工具运行的范围从用于自动侦察的脚本到与CobaltStrike和Metasploit等公开可用技术类似的整个框架。其他一些是公共可用工具的修改版本，旨在逃避基本的安全检测机制，而其余是私有的攻击工具开发的内部。

为了将这些工具被窃取的潜在影响降到最低，该公司还发布了300项对策，包括一份包含16个以前披露的关键缺陷的清单，这些缺陷应该被处理，以限制Red Team工具的有效性。

如果说有什么区别的话，那就是事态的发展再次表明，没有一家公司(包括网络安全公司)能够免受有针对性的攻击。

卡巴斯基实验室、RSA安全、Avast和Bit9等大型网络安全公司在过去十年中都曾成为破坏性黑客攻击的受害者。

该事件还与“影子经纪人”(Shadow Brokers)在2016年泄露美国国家安全局(nsa)使用的攻击性黑客工具有些许相似之处，其中包括“永恒蓝零日漏洞”(eternblue zero-day exploit)，该漏洞后来被用作武器，用于传播“想哭”(WannaCry)勒索软件。

Crowdstrike联合创始人、前首席技术官Dmitri Alperovitch表示:“安全公司之所以成为国家运营商的首要目标，有很多原因，但最重要的是，它们有能力获得关于如何绕过最终目标的安全控制的宝贵信息。”

他补充说，被对手窃取的red team工具的发布“将大大减轻这种入侵对世界各地组织的潜在影响”。