网络安全巨头FireEye被黑

摔得很难看。

网络安全公司FireEye承认其最安全的服务器遭入侵，专有黑客工具被盗，几乎可以确定作案者是国家支持的黑客组织。

12月8日，FireEye首席执行官Kevin Mandia在备忘中写道：“最近，我们遭到高端黑客组织攻击，其纪律、操作安全和技术让我们认为这是一场国家支持的攻击。”

被盗工具是FireEye用来测试其客户网络以查找潜在安全漏洞的，理论上自家网络安全也应由这些工具保障，安全防护工具被盗的事实简直是对这家网络安全巨头的双重打脸。FireEye并未指明是哪家黑客国家队，但按惯例总有匿名消息来源表示是俄罗斯所为。

为了挽尊，Mandia费老劲描述黑客多么多么高明，必须花费了巨大精力才把FireEye扒光底裤公开处刑，然后扬长而去，徒留FireEye站在高台瑟瑟发抖，不停向大家解释为什么他们需要雇佣这家连自己的安全工具都被盗的公司来保护企业网络。

Mandia坚持：“我已经得出结论，我们正在见证一场具有顶级攻击能力的国家发起的攻击。这场攻击不同于我们这么多年来响应的成千上万起事件。”

“攻击者定制了他们的世界级攻击武器，专门针对FireEye发起攻击。他们在操作安全方面久经训练，在攻击执行上极具纪律性和专注度。他们秘密行动，采用各种手段对抗安全工具和取证检查。他们使用了全新的技术组合，此类技术组合是我们和我们的合作伙伴过去从未见过的。”

FireEye没有明确自己是何时注意到此次黑客事件的，但提到已经与FBI和微软联合分析过此事件，并得出结论：这是国家支持的高端攻击者利用创新技术发起的攻击杰作。”FBI在自己的简短声明中亦予以证实。

红队被“红队”

至于黑客工具被盗，Mandia称：“我们发现，攻击者瞄准并入手了我们用来测试客户安全的特定红队评估工具。这些工具模拟很多网络黑客的行为，是FireEye能够为客户提供基本安全诊断服务的基础。”

幸运的是，这些工具无一内置零日漏洞利用程序，至少FireEye是这么说的，而且这家公司还表示尚未发现这些工具被用在其他地方。FireEye公布了检测其工具使用情况的方法，以及这些工具的应对措施，以便其他人能警惕其软件的滥用。有人猜测，这意味着FireEye得研发为客户执行渗透测试的新工具，否则客户的IT团队就能靠这些已公布的应对措施轻松检测和挫败他们的红队测试。

Mandia指出：“我们不确定攻击者是想要使用我们的红队工具，还是想要公开披露这些工具。无论如何，出于谨慎考虑，我们为客户和业界准备了超过300种应对措施，用以最小化这些工具被盗的潜在影响。”

即使被盗工具只是遭到公开披露，后果依然会很严重。未来的黑客可以使用这些被盗技术磨炼自己的逃逸及渗漏技术，打磨漏洞利用程序，确保自己不会被FireEye的代码检测，从而大幅增加成功入侵他人网络的概率。

作为上市公司，FireEye市值约35亿美元，是公司企业请来处理大规模安全事件的常客，曾应对过索尼影业黑客事件和Equifax数据泄露事件。FireEye严密看护自己的工具，更加反衬出工具被盗的巨大损失。

目标

至于黑客的目标，FireEye宣称，黑客“主要寻求与某些政府客户相关的信息”；并指出，“尽管攻击者能够访问我们的某些内部系统，在目前的调查中，我们并未找到攻击者从存有我们事件响应或咨询服务客户信息的主系统中渗漏数据的证据，也没有发现攻击者渗漏我们动态威胁情报系统中的产品所收集的元数据。”

所以，你懂的，根本不是啥大事。事实上，没什么大不了的，FireEye只会因此而越来越强大，Mandia颤抖着坚称：“由于这次攻击，我们已经汲取教训，并会继续深入了解我们的对手，整个安全社区将因这次事件而得到更好的保护。我们永远不会停止做正确的事。”

就在股市收盘前几分钟，FireEye发布了这位首席执行官的备忘，以及相关的美国证券交易委员会（SEC）申报文件。其股价在盘后交易中暴跌7%以上。 

FireEye备忘：（戳阅读原文直接打开）
https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html

关键词：FireEye

本文始发于微信公众号（数世咨询）：网络安全巨头FireEye被黑