FireEye于12月8日透露,其内部网络被某个“拥有一流网络攻击能力的国家”所突破。该公司解释称,黑客使用“全新技术”窃取了FireEye掌握的安全工具套件,这也可能成为全球新一波攻击浪潮的起点。
多年以来,网络安全厂商FireEye一直在帮助全球各地的政府机构与企业尽早发现攻击迹象、应对高水平攻击行动并预防黑客攻击事态。但现在看来,黑客一方也在采取报复措施。
在这场惊人的网络盗窃案中,黑客方面一举夺取了FireEye所使用的网络武器库,可被用于在世界范围内发起新的攻击。由于事关重大,FireEye在本周二发现事件后不久,就将情况通报给FBI方面。
FireEye创始人凯文·曼迪亚(Kevin Mandia)亲自发文称:
根据我25年的网络安全经验和对事件的响应,我得出的结论是,我们目睹了一个拥有一流进攻能力的国家的袭击。这次攻击与多年来我们应对的成千上万起事件不同。
攻击者量身定制了其世界一流的功能,专门针对和攻击FireEye。他们在操作安全方面接受过严格的培训,并有纪律和专注地执行。他们秘密采取行动,使用对抗安全工具和法医检查的方法。他们使用了我们或我们的合作伙伴过去从未见过的新颖技术组合。
我们正在与联邦调查局和包括Microsoft在内的其他主要合作伙伴进行积极的调查合作。他们的初步分析支持了我们的结论,即这是使用新技术由国家资助的高度复杂的攻击者的工作。
在迄今为止的调查中,我们发现攻击者针对并访问了某些红队渗透测试工具,这些工具用于测试客户的安全性。这些工具模仿了许多网络威胁参与者(APT组织)的行为,并使FireEye能够为我们的客户提供基本的诊断安全服务。这些工具都没有包含0day漏洞。与保护社区的目标一致,我们正在积极发布方法和手段来检测盗用的Red Team工具的使用。
我们不确定攻击者是否打算使用我们的Red Team工具或公开披露它们。但是,出于谨慎考虑,我们已经为客户和整个社区开发了300多种对策,以尽量减少盗窃这些工具的潜在影响。
网络武器库泄露,影响堪比方程式被黑
这家市值高达35亿美元的安全公司,一直在依靠揪出各类安全违规事件的幕后黑手来赚取利润。FireEye曾先后帮助索尼及Equifax处理安全问题,在行业内享有盛誉。这一次,他们拒绝透露攻击的幕后黑手,只表示攻击目标指向的是FireEye掌握的“Red Team/红队工具”。
从本质上讲,红队工具是一种网络武器库,能够复制全球最复杂的黑客攻击方法。在企业或政府机构客户的允许下,FireEye会使用这些工具查找对方系统中的漏洞。目前大多数工具都被保存在由FireEye密切监控的数字保险库当中。
安全人士认为,火眼被入侵事件可谓是本年度安全行业最重大的事件,其影响堪比NSA 的方程式组织( Equation Group )被入侵,将使 FireEye 所面临的巨大挑战。
FBI怀疑为俄罗斯国家黑客所为
FBI确认称此次黑客入侵确实属于国家支持行动,但并没有挑明具体是哪个国家,但根据事件描述以及FBI随后将案件移交给对俄专家的行为,几乎可以肯定问题出自俄方。FBI网络部门副主任Matt Gorham提到,“FBI正在介入调查。初步迹象表明,攻击者的攻击水平与技术成熟度堪与民族国家比肩。”
此次黑客攻击很可能是俄罗斯乘机而入之举,意在利用包括FireEye在内的美国各方专注于保护最新一轮总统大选的机会。毫无疑问,就在全美公共及私有情报机构都在积极监控选民登记系统及投票机的同时,俄罗斯作为很可能曾在2016年大选期间有所行动的外国势力,自然不会坐失良机。
泄露或引发攻击者滥用
自从2016年美国国家安全局(NSA)的网络安全工具被某神秘组织(自称为「影子经纪人」,其身份至今未被识破)窃取以来,本轮黑客入侵成为已被发现的最大规模网络武器盗窃事件。过去几个月来,影子经纪人在网上发布大量NSA黑客工具,相当于把美国向来引以为傲的“数字王国之钥”交给了民族国家与黑客组织。最终,朝鲜与俄罗斯使用这批武器对全球各大企业集团、医院及政府机构发动破坏性攻击,造成的损失超过100亿美元。
作为美国政府专门打造的独门数字武器,NSA的工具储备可能比FireEye的更强大。相比之下,此次外泄的红队工具主要由恶意软件构成,供FireEye进行各类攻击模拟。
尽管如此,这批工具仍有着巨大的价值,民族国家完全可以借此发动攻击并隐藏行迹。
前NSA网安专家、现任软件公司Jamf首席安全研究员的Patrick Wardle表示,“黑客可以利用FireEye的工具,以合理的方式大肆入侵各类高风险、高知名度目标。在风险较高的环境当中,攻击方当然不想动用自己的核心工具储备。直接借用FireEye的工具,能够推迟其亮出独门绝技并降低由此导致身份暴露的可能性。”
某个国家赞助的黑客组织此前曾在全球攻击活动中使用NSA黑客工具,要不是最终在其储备库中发现了NSA工具,真相恐怕永远无法昭示。Wardle指出,“借用他人的工具确实是种既简单又有效的攻击方法。”
FireEye仍在继续调查
对FireEye而言,此次攻击则堪称奇耻大辱。在2014年遭受毁灭性攻击之后,该公司调查人员与索尼开展合作,最终将事件归因于朝鲜。2015年美国国务院及其他多个政府部门遭受俄罗斯攻击后,FireEye同样受命调查。三年之前因黑客入侵导致美国近半数人口信用监管资料泄露的Equifax案,也有FireEye的参与。正是拥有如此辉煌的战绩,才让FireEye对这次事件特别难以接受。
在本轮攻击中,黑客竭尽所能隐藏起自己的行迹。他们创建了数千个互联网协议地址,其中不少是美国本土地址,而且此前从未被用于实际攻击。利用这些地址,黑客几乎可以彻底隐藏在灯影之下。
FireEye公司首席执行官Kevin Mandia指出,“此次攻击与多年以来我们应对过的无数安全事件都不相同。”
FireEye方面坦言,由于严重缺乏细节线索,他们仍在调查黑客究竟如何突破其严密防线。
曾任美国空军情报官员的Mandia表示,攻击者“量身定制了一套世界一流的攻击体系,专门用于针对FireEye。”攻击方似乎在“行动安全”方面接受过严格的训练,表现出极强的“纪律性与专注度”,同时秘密行事以逃避安全工具及取证检查的检测。谷歌、微软及其他参与网络安全调查的企业也表示,其中涉及不少此前从未出现过的技术。
FireEye还发布了其红队工具中的不少关键元素,帮助各潜在目标准确判断后续攻击活动的走势。
美国调查人员还试图确定此次攻击是否与NSA本周一披露的另一桩俄罗斯攻击活动有关。在该事件中,俄罗斯方面将矛头指向国防企业及制造商所广泛使用的一大核心软件——虚拟机。NSA拒绝透露攻击的具体目标,目前也不清楚俄罗斯方面是否在FireEye突破战中也使用到这一技术。
针对FireEye的攻击很可能是一种报复行为。该公司调查人员此前曾多次揭露,俄罗斯军事情报部门GRU、SVR、以及前苏联时期KGB的继任机构FSB针对乌克兰及美国政府当局发起的严重黑客攻击。此外,在沙特石化厂工业安全锁被网络攻击破坏之后,也是FireEye首先发现事件背后很可能是俄罗斯黑客在作祟。
行业专家评论
华盛顿战略与国际研究中心的网络安全专家James A. Lewis提到,“俄罗斯有很强的报复心理。几乎在一夜之间,FireEye的客户开始人人自危。”
本周二,俄罗斯国家国际信息安全协会与全球安全专家召开了一场论坛,俄罗斯官员再次声称,美国提出的制裁与指控缺乏实质性证据的支持。
事实上,安全企业一直是民族国家与黑客团伙的主要攻击目标之一,部分原因在于其安全工具往往能够对全球企业及政府客户发起深度访问。通过入侵这些工具并窃取源代码,间谍及黑客将在受害者的系统中找到驻留点。
作为重量级安全厂商,McAfee、赛门铁克以及Trend Micro的代码于去年遭到某使用凭证的黑客团伙的劫持。2017年,俄罗斯安全厂商卡巴斯基遭到以色列黑客攻击。2012年,赛门铁克还曾确认其一部分反病毒源代码遭到黑客窃取。