新闻快讯
< >

黑客曝光第二批FireEye公司内部文件

E安全8月16日讯 7月底,某自称为“31337”的匿名黑客组织放出窃取自美国知名网络安全公司FireEye子公司Mandiant某位员工的内部资料。然而,正当FireEye积极调查的时候,黑客本周一又曝光了第二批FireEye内部文件。

黑客vs安全行业:Mandiant(Fireeye)内部数据惨遭泄露-E安全


“31337”真实身份还是一个谜

该黑客组织自称“31337”(E安全注:当黑客编写漏洞开发程序时,他们通常会留下一个签名,其中最声名狼藉的一个就是elite。如果将eleet转换成数字,它就是31337,而当它是指他们的能力时,elite=eleet,表示精英。),先前泄露了从FireEye子公司Mandiant的分析师被泄个人电子邮件和社交媒体账号获取的文件(FireEye的调查结果)。

FireEye早前发博文声称,社交媒体和电子邮件公司曾遭遇入侵,导致数百万登录凭证被盗并暴露在网上,导致部分黑客获取了这些账号的密码。FireEye表示,黑客声称其窃取到的这些文件其实先前就可公开获取,甚至是黑客伪造的截屏。

“31337”在Pastebin发博文呛声FireEye:“简直是弥天大谎,猜猜怎么着,我们要惩罚一下那些大腹便便,只关心股票的有钱人…要不然你们怎么认为这是真的?”

1.jpg

“31337”在Pastebin上泄露FireEye第二批文件

“31337”在Pastebin博文中还写到,“会坐等FireEye发表公开评论,再听FireEye胡诌诌。这些天看到FireEye的囧样十分有趣”,以挑衅FireEye追踪他们,同时还嘲讽FireEye得保持股价不跌至14美元以下。

“31337”的真实身份目前仍是个谜。另外,也不清楚这一波“曝光分析师”行为到底是出于经济动机,抑或只是为了损害FireEye这家网络安全企业的声誉。

FireEye第二次泄露的文件

第二批资料相对较少,包含二十几份文件,压缩包为5.64MB。其中一份文件似乎是以色列安全公司Illusive Networks的取证报告。另一份与以色列银行Hapoalim有关。黑客似乎至少修改了一份文件,在其中使用了“"COOL! #LeakTheAnalyst”文字标签。Hapoalim银行、其中一份文件提到的银行雇员以及Illusive Networks均未立即对此次泄露数据予以回应。

1.jpg

此次泄露的文件——leak目录

1.jpg

此次泄露的文件——aftermath目录

在发布的消息当中,“31337”还对另外两个黑客组织——分别为APT28(也称为‘奇幻熊’,怀疑与俄罗斯政府有所关联,且被广泛认定正是美国总统大选期间一系列黑客活动的幕后黑手)以及影子经纪人(曾在去年泄露美国国安局网络武器储备库资料后声名大噪)——表达了“特别感谢”。

截止本文编辑时,E安全(微信公众号:E安全)通过Google和Pastebin搜索查看该泄露报告的部分内容,可以看到这些内容已被删除或被标记为“保密”,未出现相关结果。

1.jpg

FireEye公司已开始第二次调查

FireEye公司目前表示,其已经发现第二次的数据披露事件,并开始着手开展调查。

FireEye公司的一位发言人在一份邮件声明中表示:

“我们于今天凌晨开始了对第二批泄露信息的调查。尽管攻击者作出了提前预告,但目前的实际情况仍然符合我们于8月7日作出的说明——即没有任何证据表明攻击者入侵、损害或者访问了我们的企业网络。”

在第一批信息泄露后不久发布的官方博客中,已经证实黑客方面从某位员工处窃取到了内部数据。FireEye公司同时表示,黑客披露的文件此前已经进行过公开发布。FireEye公司在博客中解释称,“攻击者发布在网站之上的一部分截屏信息存在误导性,而且这似乎是有意为之。他们错误地暗示其成功入侵了我们的企业网络——事实上,我们发现攻击者尝试登录但却未能成功。”

FireEye对第一次泄露事件调查的总结如下:

· 攻击者未入侵、攻击或访问公司网络,尽管多次尝试失败。

· 攻击者未入侵、攻击或访问受害者的个人或公司电脑、笔记本电脑和其它设备。

· FireEye证实,受害者的个人社交媒体和电子邮件账号密码和/或凭证在2016年(或更早)至少8起公开泄露的第三方数据泄露(包括Linked In)中被暴露。

· 2016年9月开始,攻击者使用这些被盗的密码和/或凭证访问多名受害者的个人在线账号,包括LinkedIn、Hotmail和OneDrive账号。

· 攻击者公开发布的三个FireEye公司文件获取自受害者的个人在线账号。

· 攻击者发布的所有文件先前可公开获取,或是攻击者截屏。

· 大量截屏和发布在网上的资料具有误导性,看似是故意为之。攻击者故意误导性暗示成功入侵FireEye网络,然而事实是,FireEye识别了攻击者失手的登录入侵企图。

FireEye强调,这名受害者支持的客户很少,只有其中两名客户受泄露影响。

目前尚不清楚黑客们公布的最新一批数据是否来自该Mandiant员工的个人帐户。然而,Twitter上的部分信息社区推测实际情况应该正是如此,黑客则只是“拖拽”操作了一下。

1.jpg

FireEye公司表示:

“我们正继续调查这一问题,而且认为不会出现任何关键性的新发现。如果有其它相关信息出现,我们将会第一时间发布通告。我们也将继续尽全力解决这个问题,从而维护包括执法部门在内的客户、内部调查员以及安全专家团队对于FireEye公司的坚定信任。”

推荐阅读

黑客曝光第二批FireEye公司内部文件
FireEye公布调查进展:Mandiant内网未遭遇入侵
黑客vs安全行业:Mandiant(Fireeye)内部数据惨遭泄露
FireEye:混淆技术成为了2017年攻击者最喜欢用的技术之一
FireEye:APT28曾攻击黑山政府,黑客影响外国政治进程
FireEye称中国黑客把目标转向亚洲
再炒中国黑客威胁论!Fireeye声称APT10和通托小组因“萨德”攻击韩国
Fireeye声称“中国黑客组织APT10和通托小组”因“萨德”而频繁活动
Fireeye:APT29曾利用前沿技术“域名前移”规避安全检测
FireEye最新报告:经济利益与民族国家支持已成为主要恶意活动驱动主体

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。