安全廠商FireEye被駭，紅隊測試工具外流

全球最大安全軟體公司之一FireEye昨（8）日公布近日遭到疑似國家支持的駭客攻擊，造成該公司提供安全測試的工具外洩。

FireEye執行長 Kevin Mandia指出，分析攻擊手法顯示駭客對作業環境安全有深厚知識，且行動精準而自制。他們運用多種方法使安全工具及鑑識分析無從察覺他們的行蹤，有些更是安全業界前所未見的新手法，顯示為國家支持的駭客組織。

攻擊行動稍早由微軟證實，目前FireEye已經偕同聯邦調查局及微軟進行調查。

初步調查顯示，駭客目標在FireEye用來測試企業環境安全的特定紅隊評估工具。這類工具會模仿網路駭客的行為進行攻擊，供安全廠商評估安全缺失並對症下藥。而攻擊者也成功存取了這些工具。

Mandia指出，這套紅隊測試工具中沒有零時差攻擊程式，目前也還沒看到這項工具被拿來攻擊其他組織，但為防患未然，FireEye已經發展了超過300個反制措施，包括威脅情報共享框架OpenIOC、惡意程式特徵Yara、入侵偵測工具Snort及ClamAV，用來偵測或封鎖這套工具的攻擊，也將這些措施內建到其產品中。FireEye也將這些措施分享給合作的安全廠商，並在GitHub上公開。FireEye表示之後會再分享出該工具的其他防範方法。

FireEye相信，駭客主要在尋找特定政府客戶的資料，並且也成功存取「部份」內部系統。但FireEye強調，主要系統，包括緊急應變及顧問服務客戶資訊系統，以及產品蒐集的metadata系統都沒有發生資料外洩。

安全廠商因為擁有大量企業資料及可用於作惡的工具，被駭時所有聞，包括RSA、Avast及卡巴斯基都曾經遭到駭客攻擊。