FireEye分享近期网络攻击的详细信息

2020-12-09 19:58:14

FireEye在保护全球公司和关键基础架构免受网络威胁的前沿。我们亲眼目睹了不断增长的威胁,并且我们知道网络威胁一直在发展。最近,我们受到了一个高度复杂的威胁参与者的攻击,该参与者的纪律,操作安全性和技术使我们认为这是国家资助的攻击。我们的首要任务是加强客户和广大社区的安全。我们希望通过分享我们的调查细节,使整个社区能够更好地应对和打击网络攻击。

根据我25年的网络安全经验和对事件的响应,我得出的结论是,我们目睹了一个拥有一流进攻能力的国家的袭击。这次攻击与多年来我们应对的成千上万起事件不同。攻击者量身定制了其世界一流的功能,专门针对和攻击FireEye。他们在操作安全方面接受过严格的培训,并有纪律和专注地执行。他们秘密采取行动,使用对抗安全工具和法医检查的方法。他们使用了我们或我们的合作伙伴过去从未见过的新颖技术组合。

我们正在与联邦调查局和包括Microsoft在内的其他主要合作伙伴进行积极的调查合作。他们的初步分析支持了我们的结论,即这是使用新技术由国家支持的高度复杂的攻击者的工作。

在迄今为止的调查中,我们发现攻击者锁定并访问了某些Red Team评估工具,这些工具用于测试客户的安全性。这些工具模仿了许多网络威胁参与者的行为,并使FireEye能够为客户提供必要的诊断安全服务。这些工具都没有包含零时差漏洞。与保护社区的目标一致,我们正在积极发布方法和手段来检测盗用的Red Team工具的使用。

我们不确定攻击者是否打算使用我们的Red Team工具或公开披露它们。但是,出于谨慎考虑,我们已经为客户和整个社区开发了300多种对策,以尽量减少盗窃这些工具的潜在影响。

迄今为止,我们还没有证据表明任何攻击者都使用了被盗的Red Team工具。我们以及安全社区中的其他人将继续监视任何此类活动。目前,我们要确保整个安全社区都知道并受到保护,以防止尝试使用这些Red Team工具。具体来说,这是我们正在做的事情:

我们已经准备了对策,可以检测或阻止使用被盗的Red Team工具。

我们正在与安全社区的同事共享这些对策,以便他们可以更新其安全工具。

我们将在我们的博客文章"中公开提供对策。未经授权访问FireEye Red Team Tools"。

当Red Team工具公开或直接与我们的安全合作伙伴一起使用时,我们将继续共享和完善对Red Team工具的其他任何缓解措施。

与民族国家的网络间谍活动一致,攻击者主要寻求与某些政府客户有关的信息。虽然攻击者能够访问我们的某些内部系统,但是在我们的调查中,我们没有发现证据表明攻击者从主要系统中窃取了数据,这些数据存储了事件响应或咨询活动中的客户信息或收集的元数据在我们的动态威胁情报系统中使用我们的产品。如果发现客户信息被盗,我们将直接与他们联系。

多年来,我们已经识别,分类并公开披露了许多高级持久威胁(APT)小组的活动,使更广泛的安全社区能够检测和阻止新出现的威胁。

每天,我们都会进行创新和适应,以保护我们的客户免受社会法律和道德范围之外的威胁行为者的侵害。这个事件没有什么不同。我们对产品的功效以及用于改进产品的过程充满信心。由于这次攻击,我们已经了解并继续了解我们的对手,并且更大的安全社区将从这次事件中得到更好的保护。我们永远不会阻止做正确的事。

此博客文章中包含的某些陈述构成1933年《证券法》第27A条(经修订)和1934年《证券交易法》第21E条所指的“前瞻性陈述”。这些前瞻性陈述基于我们当前的信念,理解和期望,除其他外,可能与关于我们当前的信念,对所披露事件的影响和规模的理解以及我们对所发生事情的理解有关。前瞻性陈述基于当前可获得的信息以及我们当前的信念,期望和理解,随着调查的进行和了解到更多信息(包括攻击者针对的目标和访问的目标),这些前瞻性声明可能会发生变化。这些陈述可能会受到未来事件,风险和不确定因素的影响-其中许多是我们无法控制的,或者FireEye目前尚不知道。这些风险和不确定性包括但不限于我们正在进行的调查,包括可能发现与事件有关的新信息。

前瞻性陈述仅代表其发表之日,尽管我们打算提供有关攻击的其他信息,但FireEye不会承担除法律要求以外的其他更新这些陈述的义务,并明确声明不承担任何责任。