网络安全公司 FireEye 在首席执行官凯文·曼迪亚 (Kevin Mandia) 所说的一场针对性很强的网络攻击中受到打击。攻击者瞄准并能够访问公司用来测试其客户安全性的某些红队评估工具。
曼迪亚周二表示,根据攻击的技术和复杂程度,他相信国家资助的行为者是这次黑客攻击的幕后黑手。据 FireEye 称,攻击者主要是寻找与某些*客户相关的数据。他说,此次黑客攻击“使用了我们或我们的合作伙伴过去未曾见证过的新型技术组合”。
曼迪亚在周二的一篇帖子中说,由于其复杂性,这次袭击“与我们多年来应对的数万起事件不同” 。“攻击者专门定制了世界一流的能力来瞄准和攻击 FireEye。他们在操作安全方面训练有素,并以纪律和专注的方式执行。他们秘密运作,使用对抗安全工具和法医检查的方法。”
Mandia 说,这些目标工具通过模仿威胁行为者的行为,为 FireEye 的客户提供诊断安全服务。被盗工具的范围从用于自动侦察的简单脚本到类似于 CobaltStrike 和 Metasploit 等公开可用技术的整个框架。
他强调说,这些工具都不包含零日漏洞利用。迄今为止,FireEye 也没有发现任何证据表明攻击者利用了被盗的 Red Team 工具。
然而,这种工具的这种使用可能允许攻击者接管系统,周二网络安全和基础设施安全局 (CISA) 的一份公告警告说:“尽管 [CISA] 迄今尚未收到有关这些工具被恶意使用的报告,但未经授权的第三方用户可以滥用这些工具来控制目标系统,”根据咨询。
与此同时,Netenrich 的首席信息安全官 Brandon Hoffman 在一封电子邮件中表示,攻击者“很可能……计划使用这种商品类型的工具来掩盖他们的踪迹,以免暴露他们自己的自定义工具,并将这些工具保存起来以备特殊攻击或第二阶段攻击。”
FireEye 表示将继续监控与被黑红队工具有关的任何活动,目前正在与联邦调查局 (FBI) 和微软等其他合作伙伴协调调查此次攻击。
“我们不确定攻击者是否打算使用我们的红队工具或公开披露它们,”曼迪亚说。“尽管如此,出于谨慎考虑,我们已经为我们的客户和整个社区制定了 300 多种对策,以尽量减少这些工具被盗的潜在影响。”
此外,该公司还制定了对策,可以检测或阻止被盗红队工具的使用。这些对策也在GitHub 上公开提供。
Mandia 表示,截至目前,客户数据似乎未受影响:“虽然攻击者能够访问我们的一些内部系统,但在我们的调查中,我们没有看到任何证据表明攻击者从我们的主要系统中窃取了数据,存储来自我们的事件响应或咨询业务的客户信息,或者我们的产品在我们的动态威胁情报系统中收集的元数据,”他说。