FireEye故事：FireEye分享近期网络攻击的细节，以保护社区的行动

FireEye处于保护全球公司和关键基础设施免受网络威胁的第一线。我们亲眼目睹了日益增长的威胁，我们知道网络威胁一直在演变。最近，我们遭到了一个高度复杂的威胁行动者的攻击，这个行动者的纪律、行动安全以及技术使我们相信这是一次国家支持的攻击。我们的首要任务是努力加强我们客户和广大社区的安全。我们希望，通过分享我们调查的细节，让整个社会更有能力打击和击败网络攻击。

基于我25年来在网络安全和应对事件方面的经验，我得出结论，我们正在目睹一个拥有顶级攻击能力的国家发动的攻击。这次袭击不同于我们多年来应对的数万起事件。攻击者为攻击 FireEye 定制了世界级的攻击能力。他们在操作安全方面接受过严格的培训，并使用反安全工具的方法有纪律和专注地执行。他们使用了一种我们或我们的合作伙伴过去从未见过的新技术组合。

我们正在与联邦调查局和包括微软在内的其他主要合作伙伴积极展开调查。他们的初步分析支持了我们的结论，即这是一个由国家支持的高度复杂的攻击者利用新技术的行动。

在我们的调查中，我们发现攻击者锁定并访问了某些Red Team评估工具，这些工具是我们用于测试客户安全性的。这些工具模拟了许多网络威胁行动者的行为，使 FireEye 能够为我们的客户提供基本的诊断安全服务。没有一个工具包含 0day 漏洞。与我们保护社区的目标一致，我们正在积极发布方法和手段，以检测我们被盗的Red Team工具的使用。

我们不确定攻击者是否打算使用我们的红队工具或公开披露它们，但是，出于谨慎考虑，我们已经为我们的客户和整个社区开发了300多个对策，以尽量减少这些工具被盗的潜在影响。

到目前为止，我们没有看到任何证据表明攻击者使用了被盗的红队工具。我们以及安全部门的其他人将继续监视任何此类活动。此时，我们希望确保整个安全社区都知道并受到保护，防止被这些红队工具利用。具体来说，我们是这样做的：

• 我们已经准备了对策，可以发现或阻止我们被盗的红队工具的使用。
• 我们已经在我们的安全产品中实现了对策。
• 我们正与安全社区的同事分享这些对策，以便他们能更新他们的安全工具。
• 我们在博客文章“未经授权访问FireEye红队工具”中公开了应对措施。
• 当红队工具公开或直接与我们的安全合作伙伴一起使用时，我们将继续共享和完善对红队工具的其他任何缓解措施。

与国家网络间谍活动一致，攻击者主要寻求与某些政府客户相关的信息。虽然攻击者可以访问我们的一些内部系统，但是在我们的调查中，我们发现没有证据表明攻击者从主要系统中窃取了数据，这些数据存储了事件响应或咨询活动中的客户信息或收集的元数据在我们的动态威胁情报中使用我们的产品。如果我们发现客户信息被拿走，我们会直接联系他们。

多年来，我们已经识别、分类并公开披露了许多高级持续威胁(APT)组织的活动，使更广泛的安全社区能够检测和阻止新的和正在出现的威胁。

每一天，我们都在创新和调整，以保护我们的客户免受那些在社会法律和道德界限之外行事的行为者的威胁。这次事件也不例外。我们对我们产品的功效和我们用来改进它们的过程充满信心。通过这次袭击，我们已经更加了解并将继续了解我们的对手，通过这次事件，我们的安全体系将得到更好的保护。我们绝不会因做对的事而退缩。

前瞻性陈述

本博客文章中的某些陈述构成1933年修订的《证券法》第27A条和1934年修订的《证券交易法》第21E条所指的“前瞻性陈述”。这些前瞻性声明基于我们当前的信念、理解和期望，可能涉及到我们当前的信念和对已披露事件的影响和规模的理解，以及我们对所发生事件的理解。前瞻性陈述基于当前可获得的信息和我们当前的信念、期望和理解，这些可能会随着调查的进行和更多的了解而改变，包括攻击者的目标和访问。这些声明取决于未来发生的事件、风险和不确定性——其中很多都超出了我们的控制范围，或者FireEye目前还不知道。这些风险和不确定性包括但不限于我们正在进行的调查，包括可能发现与事件相关的新信息。

前瞻性陈述仅在陈述之日陈述，虽然我们打算提供关于此次攻击的额外信息，但FireEye不承诺更新这些陈述，除非法律要求，并明确表示不承担这样做的任何责任。.

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html#footer-worldwide