黑客曝光第二批FireEye公司内部文件

E安全8月16日讯 7月底，某自称为“31337”的匿名黑客组织放出窃取自美国知名网络安全公司FireEye子公司Mandiant的内部资料。然而，正当FireEye积极调查的时候，黑客本周一又曝光了第二批FireEye内部文件。

“31337”真实身份还是一个谜

该黑客组织自称“31337”（E安全注：当黑客编写漏洞开发程序时，他们通常会留下一个签名，其中最声名狼藉的一个就是elite。如果将eleet转换成数字，它就是31337，而当它是指他们的能力时，elite=eleet，表示精英。），先前泄露了从FireEye子公司Mandiant的分析师被泄个人电子邮件和社交媒体账号获取的文件（FireEye的调查结果）。

FireEye早前发博文声称，社交媒体和电子邮件公司曾遭遇入侵，导致数百万登录凭证被盗并暴露在网上，导致部分黑客获取了这些账号的密码。FireEye表示，黑客声称其窃取到的这些文件其实先前就可公开获取，甚至是黑客伪造的截屏。

“31337”在Pastebin发博文呛声FireEye：“简直是弥天大谎，猜猜怎么着，我们要惩罚一下那些大腹便便，只关心股票的有钱人…要不然你们怎么认为这是真的？”

“31337”在Pastebin上泄露FireEye第二批文件

“31337”在Pastebin博文中还写到，“会坐等FireEye发表公开评论，再听FireEye胡诌诌。这些天看到FireEye的囧样十分有趣”，以挑衅FireEye追踪他们，同时还嘲讽FireEye得保持股价不跌至14美元以下。

黑客组织“31337”的真实身份目前仍是个谜。另外，也不清楚这一波“曝光分析师”行为到底是出于经济动机，抑或只是为了损害FireEye这家网络安全企业的声誉。

FireEye第二次泄露的文件

第二批资料相对较少，包含二十几份文件，压缩包为5.64MB。其中一份文件似乎是以色列安全公司Illusive Networks的取证报告。另一份与以色列银行Hapoalim有关。黑客似乎至少修改了一份文件，在其中使用了“"COOL! #LeakTheAnalyst”文字标签。Hapoalim银行、其中一份文件提到的银行雇员以及Illusive Networks均未立即对此次泄露数据予以回应。

此次泄露的文件——leak目录

此次泄露的文件——aftermath目录

在发布的消息当中，“31337”还对另外两个黑客组织——分别为APT28（也称为‘奇幻熊’，怀疑与俄罗斯政府有所关联，且被广泛认定正是美国总统大选期间一系列黑客活动的幕后黑手）以及影子经纪人（曾在去年泄露美国国安局网络武器储备库资料后声名大噪）——表达了“特别感谢”。

截止本文编辑时，E安全（微信公众号：E安全）通过Google和Pastebin搜索查看该泄露报告的部分内容，可以看到这些内容已被删除或被标记为“保密”，未出现相关结果。

FireEye公司已开始第二次调查

FireEye公司目前表示，其已经发现第二次的数据披露事件，并开始着手开展调查。

FireEye公司的一位发言人在一份邮件声明中表示：

“我们于今天凌晨开始了对第二批泄露信息的调查。尽管攻击者作出了提前预告，但目前的实际情况仍然符合我们于8月7日作出的说明——即没有任何证据表明攻击者入侵、损害或者访问了我们的企业网络。”

在第一批信息泄露后不久发布的官方博客中，已经证实黑客方面从某位员工处窃取到了内部数据。FireEye公司同时表示，黑客披露的文件此前已经进行过公开发布。FireEye公司在博客中解释称，“攻击者发布在网站之上的一部分截屏信息存在误导性，而且这似乎是有意为之。他们错误地暗示其成功入侵了我们的企业网络——事实上，我们发现攻击者尝试登录但却未能成功。”

FireEye对第一次泄露事件调查的总结如下：

· 攻击者未入侵、攻击或访问公司网络，尽管多次尝试失败。

· 攻击者未入侵、攻击或访问受害者的个人或公司电脑、笔记本电脑和其它设备。

· FireEye证实，受害者的个人社交媒体和电子邮件账号密码和/或凭证在2016年（或更早）至少8起公开泄露的第三方数据泄露（包括Linked In）中被暴露。

· 2016年9月开始，攻击者使用这些被盗的密码和/或凭证访问多名受害者的个人在线账号，包括LinkedIn、Hotmail和OneDrive账号。

· 攻击者公开发布的三个FireEye公司文件获取自受害者的个人在线账号。

· 攻击者发布的所有文件先前可公开获取，或是攻击者截屏。

· 大量截屏和发布在网上的资料具有误导性，看似是故意为之。攻击者故意误导性暗示成功入侵FireEye网络，然而事实是，FireEye识别了攻击者失手的登录入侵企图。

FireEye强调，这名受害者支持的客户很少，只有其中两名客户受泄露影响。

目前尚不清楚黑客们公布的最新一批数据是否来自该Mandiant员工的个人帐户。然而，Twitter上的部分信息社区推测实际情况应该正是如此，黑客则只是“拖拽”操作了一下。

FireEye公司表示：

“我们正继续调查这一问题，而且认为不会出现任何关键性的新发现。如果有其它相关信息出现，我们将会第一时间发布通告。我们也将继续尽全力解决这个问题，从而维护包括执法部门在内的客户、内部调查员以及安全专家团队对于FireEye公司的坚定信任。”