FireEye于12月8日透露，其內(nèi)部網(wǎng)絡(luò)被某個(gè)“擁有一流網(wǎng)絡(luò)攻擊能力的國(guó)家”所突破。該公司解釋稱，黑客使用“全新技術(shù)”竊取了FireEye掌握的安全工具套件，這也可能成為全球新一波攻擊浪潮的起點(diǎn)。

　　多年以來(lái)，網(wǎng)絡(luò)安全廠商FireEye一直在幫助全球各地的政府機(jī)構(gòu)與企業(yè)盡早發(fā)現(xiàn)攻擊跡象、應(yīng)對(duì)高水平攻擊行動(dòng)并預(yù)防黑客攻擊事態(tài)。但現(xiàn)在看來(lái)，黑客一方也在采取報(bào)復(fù)措施。

　　在這場(chǎng)驚人的網(wǎng)絡(luò)盜竊案中，黑客方面一舉奪取了FireEye所使用的網(wǎng)絡(luò)武器庫(kù)，可被用于在世界范圍內(nèi)發(fā)起新的攻擊。由于事關(guān)重大，F(xiàn)ireEye在本周二發(fā)現(xiàn)事件后不久，就將情況通報(bào)給FBI方面。

　　FireEye創(chuàng)始人凱文·曼迪亞（Kevin Mandia）親自發(fā)文稱：

　　根據(jù)我25年的網(wǎng)絡(luò)安全經(jīng)驗(yàn)和對(duì)事件的響應(yīng)，我得出的結(jié)論是，我們目睹了一個(gè)擁有一流進(jìn)攻能力的國(guó)家的襲擊。這次攻擊與多年來(lái)我們應(yīng)對(duì)的成千上萬(wàn)起事件不同。

　　攻擊者量身定制了其世界一流的功能，專門針對(duì)和攻擊FireEye。他們?cè)诓僮靼踩矫娼邮苓^(guò)嚴(yán)格的培訓(xùn)，并有紀(jì)律和專注地執(zhí)行。他們秘密采取行動(dòng)，使用對(duì)抗安全工具和法醫(yī)檢查的方法。他們使用了我們或我們的合作伙伴過(guò)去從未見(jiàn)過(guò)的新穎技術(shù)組合。

　　我們正在與聯(lián)邦調(diào)查局和包括Microsoft在內(nèi)的其他主要合作伙伴進(jìn)行積極的調(diào)查合作。他們的初步分析支持了我們的結(jié)論，即這是使用新技術(shù)由國(guó)家資助的高度復(fù)雜的攻擊者的工作。

　　在迄今為止的調(diào)查中，我們發(fā)現(xiàn)攻擊者針對(duì)并訪問(wèn)了某些紅隊(duì)滲透測(cè)試工具，這些工具用于測(cè)試客戶的安全性。這些工具模仿了許多網(wǎng)絡(luò)威脅參與者（APT組織）的行為，并使FireEye能夠?yàn)槲覀兊目蛻籼峁┗镜脑\斷安全服務(wù)。這些工具都沒(méi)有包含0day漏洞。與保護(hù)社區(qū)的目標(biāo)一致，我們正在積極發(fā)布方法和手段來(lái)檢測(cè)盜用的Red Team工具的使用。

　　我們不確定攻擊者是否打算使用我們的Red Team工具或公開(kāi)披露它們。但是，出于謹(jǐn)慎考慮，我們已經(jīng)為客戶和整個(gè)社區(qū)開(kāi)發(fā)了300多種對(duì)策，以盡量減少盜竊這些工具的潛在影響。

　　　　網(wǎng)絡(luò)武器庫(kù)泄露，影響堪比方程式被黑

　　這家市值高達(dá)35億美元的安全公司，一直在依靠揪出各類安全違規(guī)事件的幕后黑手來(lái)賺取利潤(rùn)。FireEye曾先后幫助索尼及Equifax處理安全問(wèn)題，在行業(yè)內(nèi)享有盛譽(yù)。這一次，他們拒絕透露攻擊的幕后黑手，只表示攻擊目標(biāo)指向的是FireEye掌握的“Red Team/紅隊(duì)工具”。

　　從本質(zhì)上講，紅隊(duì)工具是一種網(wǎng)絡(luò)武器庫(kù)，能夠復(fù)制全球最復(fù)雜的黑客攻擊方法。在企業(yè)或政府機(jī)構(gòu)客戶的允許下，F(xiàn)ireEye會(huì)使用這些工具查找對(duì)方系統(tǒng)中的漏洞。目前大多數(shù)工具都被保存在由FireEye密切監(jiān)控的數(shù)字保險(xiǎn)庫(kù)當(dāng)中。

　　安全人士認(rèn)為，火眼被入侵事件可謂是本年度安全行業(yè)最重大的事件，其影響堪比NSA 的方程式組織（ Equation Group ）被入侵，將使 FireEye 所面臨的巨大挑戰(zhàn)。

　　FBI懷疑為俄羅斯國(guó)家黑客所為

　　FBI確認(rèn)稱此次黑客入侵確實(shí)屬于國(guó)家支持行動(dòng)，但并沒(méi)有挑明具體是哪個(gè)國(guó)家，但根據(jù)事件描述以及FBI隨后將案件移交給對(duì)俄專家的行為，幾乎可以肯定問(wèn)題出自俄方。FBI網(wǎng)絡(luò)部門副主任Matt Gorham提到，“FBI正在介入調(diào)查。初步跡象表明，攻擊者的攻擊水平與技術(shù)成熟度堪與民族國(guó)家比肩?！?/p>

　　此次黑客攻擊很可能是俄羅斯乘機(jī)而入之舉，意在利用包括FireEye在內(nèi)的美國(guó)各方專注于保護(hù)最新一輪總統(tǒng)大選的機(jī)會(huì)。毫無(wú)疑問(wèn)，就在全美公共及私有情報(bào)機(jī)構(gòu)都在積極監(jiān)控選民登記系統(tǒng)及投票機(jī)的同時(shí)，俄羅斯作為很可能曾在2016年大選期間有所行動(dòng)的外國(guó)勢(shì)力，自然不會(huì)坐失良機(jī)。

　　泄露或引發(fā)攻擊者濫用

　　自從2016年美國(guó)國(guó)家安全局（NSA）的網(wǎng)絡(luò)安全工具被某神秘組織（自稱為「影子經(jīng)紀(jì)人」，其身份至今未被識(shí)破）竊取以來(lái)，本輪黑客入侵成為已被發(fā)現(xiàn)的最大規(guī)模網(wǎng)絡(luò)武器盜竊事件。過(guò)去幾個(gè)月來(lái)，影子經(jīng)紀(jì)人在網(wǎng)上發(fā)布大量NSA黑客工具，相當(dāng)于把美國(guó)向來(lái)引以為傲的“數(shù)字王國(guó)之鑰”交給了民族國(guó)家與黑客組織。最終，朝鮮與俄羅斯使用這批武器對(duì)全球各大企業(yè)集團(tuán)、醫(yī)院及政府機(jī)構(gòu)發(fā)動(dòng)破壞性攻擊，造成的損失超過(guò)100億美元。

　　作為美國(guó)政府專門打造的獨(dú)門數(shù)字武器，NSA的工具儲(chǔ)備可能比FireEye的更強(qiáng)大。相比之下，此次外泄的紅隊(duì)工具主要由惡意軟件構(gòu)成，供FireEye進(jìn)行各類攻擊模擬。

　　盡管如此，這批工具仍有著巨大的價(jià)值，民族國(guó)家完全可以借此發(fā)動(dòng)攻擊并隱藏行跡。

　　前NSA網(wǎng)安專家、現(xiàn)任軟件公司Jamf首席安全研究員的Patrick Wardle表示，“黑客可以利用FireEye的工具，以合理的方式大肆入侵各類高風(fēng)險(xiǎn)、高知名度目標(biāo)。在風(fēng)險(xiǎn)較高的環(huán)境當(dāng)中，攻擊方當(dāng)然不想動(dòng)用自己的核心工具儲(chǔ)備。直接借用FireEye的工具，能夠推遲其亮出獨(dú)門絕技并降低由此導(dǎo)致身份暴露的可能性。”

　　某個(gè)國(guó)家贊助的黑客組織此前曾在全球攻擊活動(dòng)中使用NSA黑客工具，要不是最終在其儲(chǔ)備庫(kù)中發(fā)現(xiàn)了NSA工具，真相恐怕永遠(yuǎn)無(wú)法昭示。Wardle指出，“借用他人的工具確實(shí)是種既簡(jiǎn)單又有效的攻擊方法?！?/p>

　　FireEye仍在繼續(xù)調(diào)查

　　對(duì)FireEye而言，此次攻擊則堪稱奇恥大辱。在2014年遭受毀滅性攻擊之后，該公司調(diào)查人員與索尼開(kāi)展合作，最終將事件歸因于朝鮮。2015年美國(guó)國(guó)務(wù)院及其他多個(gè)政府部門遭受俄羅斯攻擊后，F(xiàn)ireEye同樣受命調(diào)查。三年之前因黑客入侵導(dǎo)致美國(guó)近半數(shù)人口信用監(jiān)管資料泄露的Equifax案，也有FireEye的參與。正是擁有如此輝煌的戰(zhàn)績(jī)，才讓FireEye對(duì)這次事件特別難以接受。

　　在本輪攻擊中，黑客竭盡所能隱藏起自己的行跡。他們創(chuàng)建了數(shù)千個(gè)互聯(lián)網(wǎng)協(xié)議地址，其中不少是美國(guó)本土地址，而且此前從未被用于實(shí)際攻擊。利用這些地址，黑客幾乎可以徹底隱藏在燈影之下。

　　FireEye公司首席執(zhí)行官Kevin Mandia指出，“此次攻擊與多年以來(lái)我們應(yīng)對(duì)過(guò)的無(wú)數(shù)安全事件都不相同?！?/p>

　　FireEye方面坦言，由于嚴(yán)重缺乏細(xì)節(jié)線索，他們?nèi)栽谡{(diào)查黑客究竟如何突破其嚴(yán)密防線。

　　曾任美國(guó)空軍情報(bào)官員的Mandia表示，攻擊者“量身定制了一套世界一流的攻擊體系，專門用于針對(duì)FireEye?！惫舴剿坪踉凇靶袆?dòng)安全”方面接受過(guò)嚴(yán)格的訓(xùn)練，表現(xiàn)出極強(qiáng)的“紀(jì)律性與專注度”，同時(shí)秘密行事以逃避安全工具及取證檢查的檢測(cè)。谷歌、微軟及其他參與網(wǎng)絡(luò)安全調(diào)查的企業(yè)也表示，其中涉及不少此前從未出現(xiàn)過(guò)的技術(shù)。

　　FireEye還發(fā)布了其紅隊(duì)工具中的不少關(guān)鍵元素，幫助各潛在目標(biāo)準(zhǔn)確判斷后續(xù)攻擊活動(dòng)的走勢(shì)。

　　美國(guó)調(diào)查人員還試圖確定此次攻擊是否與NSA本周一披露的另一樁俄羅斯攻擊活動(dòng)有關(guān)。在該事件中，俄羅斯方面將矛頭指向國(guó)防企業(yè)及制造商所廣泛使用的一大核心軟件——虛擬機(jī)。NSA拒絕透露攻擊的具體目標(biāo)，目前也不清楚俄羅斯方面是否在FireEye突破戰(zhàn)中也使用到這一技術(shù)。

　　針對(duì)FireEye的攻擊很可能是一種報(bào)復(fù)行為。該公司調(diào)查人員此前曾多次揭露，俄羅斯軍事情報(bào)部門GRU、SVR、以及前蘇聯(lián)時(shí)期KGB的繼任機(jī)構(gòu)FSB針對(duì)烏克蘭及美國(guó)政府當(dāng)局發(fā)起的嚴(yán)重黑客攻擊。此外，在沙特石化廠工業(yè)安全鎖被網(wǎng)絡(luò)攻擊破壞之后，也是FireEye首先發(fā)現(xiàn)事件背后很可能是俄羅斯黑客在作祟。

　　行業(yè)專家評(píng)論

　　華盛頓戰(zhàn)略與國(guó)際研究中心的網(wǎng)絡(luò)安全專家James A. Lewis提到，“俄羅斯有很強(qiáng)的報(bào)復(fù)心理。幾乎在一夜之間，F(xiàn)ireEye的客戶開(kāi)始人人自危。”

　　本周二，俄羅斯國(guó)家國(guó)際信息安全協(xié)會(huì)與全球安全專家召開(kāi)了一場(chǎng)論壇，俄羅斯官員再次聲稱，美國(guó)提出的制裁與指控缺乏實(shí)質(zhì)性證據(jù)的支持。

　　事實(shí)上，安全企業(yè)一直是民族國(guó)家與黑客團(tuán)伙的主要攻擊目標(biāo)之一，部分原因在于其安全工具往往能夠?qū)θ蚱髽I(yè)及政府客戶發(fā)起深度訪問(wèn)。通過(guò)入侵這些工具并竊取源代碼，間諜及黑客將在受害者的系統(tǒng)中找到駐留點(diǎn)。

　　作為重量級(jí)安全廠商，McAfee、賽門鐵克以及Trend Micro的代碼于去年遭到某使用憑證的黑客團(tuán)伙的劫持。2017年，俄羅斯安全廠商卡巴斯基遭到以色列黑客攻擊。2012年，賽門鐵克還曾確認(rèn)其一部分反病毒源代碼遭到黑客竊取。