2014 年刚刚上市不久的安全企业 FireEye 以 10 亿美元收购了 Mandiant,成为当时轰动一时的大手笔收购案;2017 年的今天,已经在安全界威名天下的这家神话公司 FireEye 下属的这家 Mandiant 却疑似遭到黑客入侵,黑客自称公司 Mandiant 内网遭到渗透,企业内部机密资料也被他们获取,但目前还没有确凿证据可以证明这起事件的真实性。
事件起始于上周周末 Mandiant 公司的一名高级安全威胁分析师 Adi Peretz 的 LinkedIn 账号被盗取,他的头像被篡改成黑客提供的内容。随后的周一早晨,媒体方面收到了来自以色列 Hotmail 账号的一封来信,新建署名为 Adi Peretz ,邮件中称,
FireEye 及 Mandiant 的主要业务中的关键数据泄遭到黑客泄露,包括用户身份信息,合同的详细内容,秘密域名及商务邮件。攻击行动名为 #LeakTheAnalyst 。
高级威胁情报分析师 Adi Peretz 先生
FireEye 及 Mandiant 的主要业务中的关键数据泄遭到黑客泄露,包括用户身份信息,合同的详细内容,秘密域名及商务邮件。攻击行动名为 #LeakTheAnalyst 。
高级威胁情报分析师 Adi Peretz 先生
而这个自称“ 31337 ”的黑客团体在 Pastebin 上公开了他们的犯罪宣言及名为 #LeakTheAnalyst的行动计划。公开的文档资料中不包含任何隐私信息(因为Pastebin的政策是不可包含隐私信息,否则会被删除,但文档中有包含了包含隐私信息的链接地址),但我们可以看到这个黑客团体用嘲笑的语气讲述了他们的入侵的过程,透露了事件、攻击目标、数据泄漏范围等内容。
侵入 Mandiant 这样大型安全企业的内部很有意思呢,我们很喜欢观察这些安全分析师是如何保护他们的客户、如何傻乎乎地试图逆向分析恶意程序什么的。
侵入 Mandiant 这样大型安全企业的内部很有意思呢,我们很喜欢观察这些安全分析师是如何保护他们的客户、如何傻乎乎地试图逆向分析恶意程序什么的。
展开全文
文档中称,这群黑客早在 2016 年就获取了内部权限,现在掌握了 Mandiant 内部网络权限和客户的数据、凭证和一个 LinkedIn 账号、一台私人 Windows 电脑及 OneDrive 的所有权。他们还特别感谢了来自其他黑客组织的帮助,如 APT1,APT29,APT32,DragonOK,The Shadow Brokers,以及 Windows 和 WebEx 的无偿帮助。
黑客行动 #LeakTheAnalyst 宣言
此次行动的黑客认为他们作为黑客进行的各种入侵行动付出了很多的努力,这些付出都无关经济利益,只是因为挑战性的乐趣。但总是有所谓的安全专家胡乱解读黑客的想法以及他们的计划。
我们在过去的很长一段时间,都尝试避开这些尝试追踪我们并证明自己比我们厉害的 安全分析师 。但现在我们将开展 #LeakTheAnalyst行动,我们将不计后后果地在 Facebook,Linked-In,Twitter 上追踪这些分析师。让我们一起捕获他们的蛛丝马迹,追踪到他们的国家,践踏他们的职业名誉。
我们在过去的很长一段时间,都尝试避开这些尝试追踪我们并证明自己比我们厉害的 安全分析师 。但现在我们将开展 #LeakTheAnalyst行动,我们将不计后后果地在 Facebook,Linked-In,Twitter 上追踪这些分析师。让我们一起捕获他们的蛛丝马迹,追踪到他们的国家,践踏他们的职业名誉。
这些黑客还在此次行动的末尾,宣传他们格言“如果他们想把我们黑客送进地狱,那我们就要先行一步,不然就太晚了。”
弥天大谎还是确有此事:暂时未知
而目前 FireEye 也作出了回应:
我们注意到有新闻称一名 Madiant 员工的社交媒体账号被盗取了。我们立即展开了调查,并采取措施防止进一步的数据泄漏。我们的调查还在开展,但截至目前,尚未发现任何确凿证据证明 FireEye 或者 Mandiant 系统已经遭到黑客渗透。
我们注意到有新闻称一名 Madiant 员工的社交媒体账号被盗取了。我们立即展开了调查,并采取措施防止进一步的数据泄漏。我们的调查还在开展,但截至目前,尚未发现任何确凿证据证明 FireEye 或者 Mandiant 系统已经遭到黑客渗透。
卡巴斯基实验室研究员 Ido Naor 评论称,
只有一个工作站看上去遭受了 #leakTheAnalyst 的影响。Mandiant 也没有遭受任何实际损失。
只有一个工作站看上去遭受了 #leakTheAnalyst 的影响。Mandiant 也没有遭受任何实际损失。
研究员 Hanan Natan 同样表示,
目前的 #LeakTheAnalyst 似乎没有包含任何确凿的证据证明黑客已经渗透进了 Mandiant 网络中。
目前的 #LeakTheAnalyst 似乎没有包含任何确凿的证据证明黑客已经渗透进了 Mandiant 网络中。
也有其他观点认为此次黑客的行为主要针对安全企业的研究人员,从黑客活动的行动代号以及主要披露的信息内容来看,目标只是想要让安全研究人员声名狼藉,而不是希望泄露企业内部数据。但至少从转储包中的资料来看,他们确实做到了破坏一名高级安全分析师的名誉。
*参考来源:theregister / infosecurity / securityweek,Elaine编译,转载请注明FreeBuf.COM