FireEye 作为曾经全球最大的互联网安全公司,却被曝出其位于弗吉尼亚州的 Mandiant 公司的一名高级威胁情报分析师 Adi Peretz 的个人电脑被黑客组织入侵,并渗透进公司内网获取大量机密资料。黑客组织自称代号“31337”。
黑客编写漏洞开发程序时,他们通常会留下一个签名,其中最声名狼藉的一个就是elite。如果将eleet转换成数字,它就是31337,而当它是指他们的能力時,elite=eleet,表示精英。
他们表示此次入侵没有经济利益驱动,只是想证明自己技高一筹,他们发动了名为 #LeakTheAnalyst 的网络攻击行动,在网络及真实世界发起对分析师的一切追踪。
黑客似乎只是入侵了研究员本人,而非FireEye公司网络
此次攻击事件的1号受害者是Mandiant的一名高级威胁情报分析师,名为AdiPeretz,被盗取的加密的档案信息就是从他的个人电脑中获取的。
泄露的数据中主要包含了Adi在Mandiant工作的文件资料,考虑到黑客获取到了Adi 的OneDrive账号,所以,这些文件可以轻易的从OneDrive上获取的,而非必须是FireEye的服务器。尽管黑客们声称已经入侵了FireEye的内部网络,但从目前公开的数据来看,并没有充分的证据可以证明这一说辞。
FireEye发言人称:“当我们意识到有位Mandiant员工的社交媒体账户被攻破,就立即开始调查这一情况,并采取措施限制事件进一步被曝光。截止目前未知,没有发现任何证据可以证明Mandiant或FireEye的系统被破坏,事件仍在继续调查中。”
2014年,FireEye以10亿美元收购Mandiant公司。事发当日,FireEye的股份下降了4.85%。
事件回溯
根据“31337”在pastebin 上公布的信息,整理如下:
事件动机:挑衅/荣誉
“不是为了金钱,只是为了收获入侵一个高级的、知名的安全公司所能带来的快感。绕过他们的号称牢不可破的层层安全措施,浏览他们如何设法保护他们的客户以及他们的工程师如何逆向恶意软件,这些都让我们感到快乐。那些分析师总是试图追踪我们的攻击足迹,并以此证明他们比我们强,那就看看我们能对他们做什么吧,追踪他们的社交媒体账号、获取他们的机密资料、让他们名誉扫地、泄露他们的个人信息及工作数据……”
攻击目标:Mandiant和FireEye的高端人才
获得访问权限的初始时间:2016年;
结束时间:2017年
1号受害人简介:
姓名:AdiPeretz
职位:Mandiant 高级威胁情报分析师
第1层级的攻击目标:Chrome,Firefox,Windows(一个安全专家竟然使用Windows系统!)
第2层级的潜在攻击目标:Outlook联系人(HVT)、以色列总理办公厅、Mandiant、FireEye内网、Hapoalim银行、Linked-in上的联系人、第三方承包商
- 入侵的深度
- Mandiant的内部网络和客户数据已经泄露(可能会分开进行披露)
- 凭据(Mandiant-FireEye的Docs文档,Mandiant FireEye的WebEx资料,Mandiant – FireEye的JIRA账号,员工的电子邮件账号,Amazon账号,LinkedIn账户,以及更多可供我们后续利用的信息)
- 获得受害者的LinkedIn账号访问控制权
- 获得受害者的在用帐户的访问控制权(包括全权控制他的私人的Windows机器,GPS在线跟踪(2016-2017年),OneDrive,官方日历,联系人,寄付帐单的地址(爱尔兰和以色列))
- Paypal的发票
- 泄露的范围
- 受害者地理位置
- 绝密文件
- 凭据
- 偏好的密码模式
- 完整的企业和个人邮件拷贝
- FireEye许可证
- 私人合同
- FireEye工作表
- 网络拓扑图(可能是FireEye的核心分析实验室)
- Linked-in的通讯录
事件后续
事发之后,FireEye方面正在展开积极的调查;另一方,“31337”组织则声称,后续会逐步公开更多的数据。
“31337”在发布的文本中公开致谢 APT29、APT32、DragonOK、The Shadow Brokers和APT1,目前尚不清楚这起事件是否与上述组织有关,或者是一个集体行为。
而目前,已经可以看到,该组织已经获取了初次的成功,通过入侵 Adi Peretz 的个人电脑,他们获取了企业内部邮件、网络拓扑结构、企业账户的相关信息如WebEx账号、LinkedIn账号等数据。而目前FireEye回应称,目前还没发现确凿证据和实际威胁,有待进一步调查。
END 本文来源于mottoin
