来源: 时间:2023-02-17 19:35:05
当FireEye Inc本月发现它被黑客入侵时,这家网络安全公司的调查人员立即着手试图弄清楚攻击者是如何超越其防御措施的。
遭到攻击的不仅仅是FireEye,他们很快就发现了。调查人员在其软件提供商之一德克萨斯州SolarWinds corp. 生产的产品中发现了一个漏洞。
FireEye事件响应部门Mandiant的高级副总裁兼首席技术官Charles Carmakal说: “我们浏览了50,000行源代码,我们能够确定SolarWinds内部存在后门。”
Carmakal说,在发现后门后,FireEye联系了SolarWinds和执法部门。
被怀疑是俄罗斯精英组织的一部分的黑客利用了植入恶意软件的漏洞,然后在SolarWinds客户更新软件时发现了恶意软件。据知情人士透露,到目前为止,已有25多个实体受到袭击的伤害。但SolarWinds表示,多达18,000个实体可能已经下载了恶意木马。
Carmakal说,攻击者瞄准并破坏了 “高价值目标,包括政府和商业实体”。攻击FireEye的黑客窃取了该公司用来查找客户计算机网络漏洞的敏感工具。
虽然对FireEye的黑客攻击让一家网络安全公司感到尴尬,但Carmakal认为,这可能被证明是黑客的一个关键错误。卡马卡尔说: “如果这位演员没有击中火眼,这场运动有可能会持续很长时间。”“一线希望是,我们学到了很多关于这个威胁行为者是如何工作的,并与我们的执法、情报界和安全合作伙伴分享了这一点。”Carmakal说,没有证据表明FireEye被盗的黑客工具被用来对付美国政府机构。
“不幸的是,在接下来的几周和几个月里,将会有更多的受害者挺身而出,” 他说。他说,虽然有些人将这次袭击归因于由国家赞助的俄罗斯组织ApT 29或Cozy Bear,但FireEye尚未看到足够的证据来命名该演员。克里姆林宫官员否认俄罗斯有任何参与。
FireEye的调查显示,黑客攻击本身是一个高度复杂的黑客发起的全球活动的一部分,该黑客还针对 “北美、欧洲、亚洲和中东的政府、咨询、技术、电信和采掘实体”,该公司在周日晚间的博客中表示。“我们预计其他国家和垂直行业会有更多受害者。”
商务部证实了其中一个局的违规行为,路透社报道说,国土安全部和财政部也遭到了袭击,这是俄罗斯涉嫌黑客狂欢的一部分。
Carmakal说,黑客采取了先进的措施来掩盖他们的行为。“他们的操作安全水平确实非常出色,” 他说,并补充说,黑客将在同一城市的服务器上进行操作,因为他们假装是为了逃避检测。
黑客能够通过首先攻击SolarWinds IT提供商来破坏美国政府的实体。通过破坏政府实体和公司用来监视其网络的软件,黑客能够在其网络中站稳脚跟,并在显示为合法流量的同时深入挖掘所有内容。
相关推荐
猜你喜欢
