全球顶级安全公司FireEye再遭黑客狙击 这次还顺走了他们的"核武器"
2020年12月9日,有外媒报道称,世界顶级安全公司FireEye发布的一份公告声称其遭遇了具有高度复杂性的外国国家/地区APT(高持续性威胁)攻击,攻击导致内部黑客工具包被盗,目前尚不清楚攻击者的攻击动机和入侵时间。
一家全球顶级的专业反APT安全公司居然声称自己被APT组织攻击了,甚至连内部武器库都被黑客顺手打包偷走了。。。这不禁有些令人匪夷所思。
FireEye在公告中提到,攻击者仅访问了FireEye的“部分”测试工具,这些工具虽然参照了许多APT组织的攻击行为进行设计,但这些工具使用的漏洞都是已知漏洞,只被用来为客户提供基本的安全风险检测服务。
FireEye让大家无需担心,但真实情况未必如此。
FireEye CEO曼迪亚(Mandia)也在个人博客中表示,虽然发现自家武器库失窃情况,但大家无需担心,目前并没有证据表明有攻击者已经在利用FireEye的检测工具搞事情,暂时也还没有收到客户告知自身被攻击的清理。不过,曼迪亚仍对客户们做了提醒,攻击者对政府客户表现出极高的兴趣,大家要提高警惕,及时对利用FireEye红队工具发起的攻击进行检测云云。
尽管FireEye反复强调并没有发现自己的用户已经被攻击的情况,并且还表现出要与用户同进退的正义使者扮相,但这一事件的真实情况或许并不像他们描述的这样轻松。
知道创宇404实验室告诉安全419(anquan419.com):“从FireEye公开的信息中可以发现,此次的攻击者没有采取以往那样粗暴的攻击方式,比如像进入FireEye系统后并没有窃取数据、或者是加密数据进行勒索等行为,而是直接将FireEye的红队攻击工具拿走了。”
知道创宇404实验室分析,攻击者这一行为背后可能有更深层的用意和动机。首先,FireEye是一家主要为政企单位提供安全防护和检测服务的世界顶级的网络安全公司,多个国家的政企单位都采用了FireEye的边界防护类产品。
当这些边界防护类产品遇到自己家的红队攻击检测工具时,有可能会默认为这一检测行为是合理的。因此,一旦拿到FireEye的检测工具后,就有一定概率获取到进入由FireEye防护的系统的许可权。
打个比方,黑客就像是偷穿了小区保安的制服,通过外貌特征欺骗保安后,保安不仅认为这是自己人,甚至还会把业主的钥匙交给黑客,让黑客上门帮忙维修下水管道。
无论从哪个层面看,黑客这一操作所获取的收益,远比窃取FireEye企业数据或者加密勒索来的要多得多,并且至今FireEye也还未查明黑客是何时潜入系统内部的。
FireEye发布公告后,安全419还看到业内众多从业者纷纷为FireEye点赞,认为他们响应迅速,过程透明,及时公开了攻击工具识别规则,值得国内各家学习等,但知道创宇404实验室对此持有明显不同的看法。
对FireEye及时公开检测工具识别规则这一做法知道创宇404实验室表示了肯定,不过他们也认为,或许FireEye披露自身这一安全事件,也有可能是不得已而为之。
据知道创宇404实验室推测,从FireEye直接公布了自己的检测规则、防火墙策略等信息来看,很有可能他们的客户已经发现自身受到了这些工具的攻击,恶意攻击可能触发了边界防护工具的流量检测规则,才能让他们及时发现自己被攻击的事实。
为了避免更严重的后果,或许FireEye没有其他更好的选择,只好发布这样一份公告,因此很难评价说他们对此次攻击事件的响应是否是及时的、有效的。
事实上,FireEye并非是全球首家被黑客攻击过的网络安全公司,就他们自己而言,这也已经不是第一次被黑客攻击 ,在2017年时他们就遭遇过一次黑客入侵,大量企业内部核心数据在那次攻击事件中被黑客窃取。
FireEye在安全公告中一再强调,攻击者针对FireEye量身定制了世界一流的攻击方式,在操作安全方面受到严格训练,有着严格的纪律和执行过程,并使用的是FireEye和行业合作伙伴们从未见过的新颖技术组合等等。
FireEye似乎想要跟大家讲个道理,不是我不行,只是对手太强大。
这起事件之所以成为一个热门的话题,是在于它发生在世界顶级的网络安全公司上,为什么一个这种级别的公司都会不安全?
针对这个问题,知道创宇404实验室也分享了自己的看法,他们谈到,网络安全是一个攻防对抗的过程,安全的目的更多是提高黑客攻击的成本,世界上没有绝对安全的系统。安全行业里面经常谈到,人是安全的核心,哪怕系统完善的足够安全,但只要有人就有漏洞,绝对的安全是不存在的。
知道创宇404实验室最后表示,FireEye的这一安全事件警醒了大家,再次让大家看到了供应链中存在的巨大安全风险和隐患,供应链攻击影响面和威胁面是非常大的。
这起安全事件是一个典型的供应链攻击案例,它实质上是黑客希望借助FireEye的影响力,发起一场针对整个供应链的规模化攻击行动,幸好攻击者的行为提前暴露,否则将会产生难以估量的影响。
供应链攻击会形成一长串的攻击链条,如果攻击目标是供应链的上游,那么下游的厂家或企业都会受到影响。这个也是我们国家坚持要做国产操作系统的根本原因,如果长期使用国外操作系统,一旦出现安全风险,在下游中的我们也必将会受到深远影响。
尽管事件发生在FireEye身上,但每个人都应该对黑客和APT组织的这一攻击方式保持警惕,而不只看个热闹,毕竟网络安全是一场持久战,谁也无法在其中独善其身。
目前,国内安全行业从业者也纷纷行动起来,及时采取措施以保护客户。微步在线在稍晚些的时候就通过官方平台告知用户,其旗下威胁感知平台 TDP 已全面支持 FireEye 被盗红队工具的检测,微步在线客户可通过 TDP 进行自动化检测,及时采取应对措施→《FireEye红队工具遭盗取,微步在线TDP已全面支持检测》。
知道创宇也及时跟进了这次安全事件,目前,相应的识别规则已经加入了知道创宇NDR产品,以帮助FireEye用户及时规避相关风险→《15个漏洞详情,FireEye被盗网络武器库分析》。