该公司表示,正在与美国联邦调查局(FBI)和其他主要合作伙伴(包括微软)合作,积极调查这一攻击事件。不过,该公司未明确事件背后的具体肇事者,也没有透露确切的黑客入侵发生时间以及利用什么漏洞攻击成功的,对于这么一个优秀的网络安全企业,这些应该不至于调查不清楚。从国外安全信息报道看,《纽约时报》和《华盛顿邮报》报道说,联邦调查局已将调查移交给了俄罗斯专家,认为这次袭击很可能是由APT29(或舒适熊)(被认为是俄罗斯SVR外国情报局有联系的国家资助的黑客)进行的,当然这则消息属于未具名消息来源。网络安全组织经常使用Red Team工具来模拟现实攻击中使用的工具,目的是评估公司的检测和响应能力并评估企业系统的安全状况。该公司表示,攻击者还访问了一些内部系统,并主要寻求有关政府客户的信息,没有证据表明攻击者窃取了与事件响应或咨询活动或由其安全软件收集的元数据有关的客户信息。FireEye首席执行官凯文·曼迪亚( Kevin Mandia )在博客中写道:“这种攻击不同于我们多年来应对的数万起事件。攻击者量身定制了世界一流的能力,专门针对和攻击FireEye。他们在操作安全方面接受过严格的培训,并有纪律和专注地执行。他们秘密行动,使用对抗安全工具和检查的方法。他们采用了新颖的组合,是我们或我们的合作伙伴过去从未见过的技术。”在访问的红队的工具运行的用于自动化侦察类似于公开可用的技术,如全框架脚本色域CobaltStrike和Metasploit工具。其他一些则是旨在逃避基本安全检测机制的公开可用工具的修改版本,其余则是内部开发的专有攻击实用程序。为了最大程度地减少盗窃这些工具的潜在影响,该公司发布了300项对策,其中包括16个先前披露的严重漏洞的列表,应及时解决这些漏洞以限制Red Team工具的有效性。
这种发展又表明没有任何一家公司(包括网络安全公司在内)能够免受有针对性的攻击。卡巴斯基实验室(Kaspersky Lab)、RSA Security、Avast和Bit9等主要网络安全公司在过去十年中曾遭受破坏性黑客攻击。该事件还与The Shadow Brokers泄露的美国国家安全局2016年使用的攻击性黑客工具略有相似之处,其中还包括EternalBlue零日漏洞,后来被利用以分发WannaCry勒索软件。
Crowdstrike的联合创始人兼前CTO Dmitri表示:“出于多种原因,安全公司是国家运营商的主要目标,但最重要的是能够获得关于如何在其最终目标内绕过安全控制的宝贵见解的能力。”其实,无论是何时何地发生的网络安全事件,都是我们必须多方关注的。多多关注这些安全事件,一是可以让我们及时掌握事件发展情况,对比自身提升网络安全意识;二是可以在我们掌握有限资讯的基础上,展开自查修补系统漏洞,提升整体网络安全防护能力。网络入侵,特别是APT攻击,有时会潜伏若干年,所以不要认为未发生重大网络安全事件,就代表自身网络系统是安全的,也许黑客只是正在积蓄力量,以便创造更加轰动的攻击事件。网络安全第一道防线就是网络安全意识,提高网络安全意识,扎牢网络安全防护屏障,保护我们的网络空间安全。
AMNESIA:33 又一组严重的TCP / IP漏洞影响数百万个IoT设备
富士康之外再看两家曾被DoppelPaymer勒索软件攻击的企业组织
微软2020年12月份于补丁日针对58个安全漏洞发布补丁
伊朗APT39针对即时通讯程序进行监视
臭名昭著的木马程序功能升级,TrickBot针对固件进行攻击
