舒适的熊威胁行为者涉嫌在“顶级进攻”中
有传言称俄罗斯网络犯罪集团APT29是威胁探测公司FireEye的“民族国家”攻击者,导致盗窃红色团队工具。
总部位于美国加利福尼亚的FireEye表示,它是外国的受害者政府支持的黑客具有“顶级功能”,他们渗透了网络并偷走了检测和预防工具。
到目前为止,还没有任何团体声称对网络攻击,尽管有报道指出俄罗斯情报。
《华盛顿邮报》报道AP29 - 又名俄罗斯黑客小组舒适的熊- 事件背后的主要嫌疑人,尽管尚未得到FireEye的验证。
背景谁在APT29背后?我们对这个民族国家网络犯罪集团的了解
FireEye尚未确认hack何时发生,但表示在过去的两周内已重置用户密码。
该公司还尚未确认攻击者如何获得访问权限,尽管FireEye老板指出,该公司是通过“新颖的技术组合”,该公司以前从未见过。
FireEye首席执行官凯文·曼迪亚(Kevin Mandia)在一份声明中说:“我得出的结论是,我们目睹了一个具有顶级进攻能力的国家的袭击。
“这次攻击与多年来我们所回应的成千上万事件不同。”
曼迪亚确实指出,肇事者“主要寻求与某些政府客户相关的信息”。FireEye的客户群包括美国联邦政府机构,以及许多备受瞩目的企业和组织。
民族国家威胁
网络安全研究员Martijn Grooten在Twitter上写安全公司将攻击归因于国家赞助的对手“非常罕见”。
他评论说:“安全公司将威胁归因于民族国家非常罕见(FireEye是一个已知的例外),甚至更罕见,将其作为分析的主要收获。”
研究员肖恩·赖特(Sean Wright)写道:“‘没人会破解我们’或‘没人能破解我们’,火eyey事件是一个真实的例子,说明这是不正确的。而不是对他们进行挖掘,而只是表明任何人都可以发生这种情况。”
事件响应
被盗的工具包括公开可用的程序以及内部建造的定制红色团队工具。
它们范围从“用于自动侦察的简单脚本到类似于公共技术(例如钴ststrike和metasploit)的整个框架”,Fireeye在第二篇博客文章。
FireEye说,没有任何工具包含零日的利用。
被盗计划的对策可能是在github上找到。
FireEye还与联邦调查局和其他“关键合作伙伴”(包括微软在内)合作调查了这一事件。
每日swbeplay2018官网ig已与FireEye联系以进一步澄清该事件,并将相应地更新本文。
