安全厂商FireEye被骇，红队测试工具及客户资料外流

全球最大安全软件公司之一FireEye昨（8）日公布近日遭到疑似国家支持的骇客攻击，造成该公司提供安全测试的工具，以及部分客户资料外泄。

FireEye首席执行官 Kevin Mandia指出，分析攻击手法显示骇客对作业环境安全有深厚知识，且行动精准而自制。他们运用多种方法使安全工具及鉴识分析无从察觉他们的行踪，有些更是安全业界前所未见的新手法，显示为国家支持的骇客组织。

攻击行动稍早由微软证实，目前FireEye已经偕同联邦调查局及微软进行调查。

初步调查显示，骇客目标在FireEye用来测试企业环境安全的特定红队评估工具。这类工具会模仿网络骇客的行为进行攻击，供安全厂商评估安全缺失并对症下药。而攻击者也成功存取了这些工具。

Mandia指出，这套红队测试工具中没有零时差攻击程式，目前也还没看到这项工具被拿来攻击其他组织，但为防患未然，FireEye已经发展了超过300个反制措施，包括威胁情报共享框架OpenIOC、恶意程式特征Yara、入侵侦测工具Snort及ClamAV，用来侦测或封锁这套工具的攻击，也将这些措施内建到其产品中。FireEye也将这些措施分享给合作的安全厂商，并在GitHub上公开。FireEye表示之后会再分享出该工具的其他防范方法。

FireEye相信，骇客主要在寻找特定-客户的资料，并且也成功存取“部分”内部系统。但FireEye强调，主要系统，包括紧急应变及顾问服务客户资讯系统，以及产品搜集的metadata系统都没有发生资料外泄。

安全厂商因为拥有大量企业资料及可用于作恶的工具，被骇时所有闻，包括RSA、Avast及卡巴斯基都曾经遭到骇客攻击。