7月底，某自稱為“31337”的匿名黑客組織放出竊取自美國知名網(wǎng)絡(luò)安全公司FireEye子公司Mandiant某位員工的內(nèi)部資料。然而，正當(dāng)FireEye積極調(diào)查的時候，黑客本周一又曝光了第二批FireEye內(nèi)部文件。

黑客vs安全行業(yè)：Mandiant(Fireeye)內(nèi)部數(shù)據(jù)慘遭泄露-E安全

“31337”真實身份還是一個謎

該黑客組織自稱“31337”(E安全注：當(dāng)黑客編寫漏洞開發(fā)程序時，他們通常會留下一個簽名，其中最聲名狼藉的一個就是elite。如果將eleet轉(zhuǎn)換成數(shù)字，它就是31337，而當(dāng)它是指他們的能力時，elite=eleet，表示精英。)，先前泄露了從FireEye子公司Mandiant的分析師被泄個人電子郵件和社交媒體賬號獲取的文件(FireEye的調(diào)查結(jié)果)。

FireEye早前發(fā)博文聲稱，社交媒體和電子郵件公司曾遭遇入侵，導(dǎo)致數(shù)百萬登錄憑證被盜并暴露在網(wǎng)上，導(dǎo)致部分黑客獲取了這些賬號的密碼。FireEye表示，黑客聲稱其竊取到的這些文件其實先前就可公開獲取，甚至是黑客偽造的截屏。

“31337”在Pastebin發(fā)博文嗆聲FireEye：“簡直是彌天大謊，猜猜怎么著，我們要懲罰一下那些大腹便便，只關(guān)心股票的有錢人…要不然你們怎么認為這是真的?”

1.jpg

“31337”在Pastebin上泄露FireEye第二批文件

“31337”在Pastebin博文中還寫到，“會坐等FireEye發(fā)表公開評論，再聽FireEye胡謅謅。這些天看到FireEye的囧樣十分有趣”，以挑釁FireEye追蹤他們，同時還嘲諷FireEye得保持股價不跌至14美元以下。

“31337”的真實身份目前仍是個謎。另外，也不清楚這一波“曝光分析師”行為到底是出于經(jīng)濟動機，抑或只是為了損害FireEye這家網(wǎng)絡(luò)安全企業(yè)的聲譽。

FireEye第二次泄露的文件

第二批資料相對較少，包含二十幾份文件，壓縮包為5.64MB。其中一份文件似乎是以色列安全公司Illusive Networks的取證報告。另一份與以色列銀行Hapoalim有關(guān)。黑客似乎至少修改了一份文件，在其中使用了“"COOL! #LeakTheAnalyst”文字標(biāo)簽。Hapoalim銀行、其中一份文件提到的銀行雇員以及Illusive Networks均未立即對此次泄露數(shù)據(jù)予以回應(yīng)。

1.jpg

此次泄露的文件——leak目錄

1.jpg

此次泄露的文件——aftermath目錄

在發(fā)布的消息當(dāng)中，“31337”還對另外兩個黑客組織——分別為APT28(也稱為‘奇幻熊’，懷疑與俄羅斯政府有所關(guān)聯(lián)，且被廣泛認定正是美國總統(tǒng)大選期間一系列黑客活動的幕后黑手)以及影子經(jīng)紀人(曾在去年泄露美國國安局網(wǎng)絡(luò)武器儲備庫資料后聲名大噪)——表達了“特別感謝”。

截止本文編輯時，E安全(微信公眾號：E安全)通過Google和Pastebin搜索查看該泄露報告的部分內(nèi)容，可以看到這些內(nèi)容已被刪除或被標(biāo)記為“保密”，未出現(xiàn)相關(guān)結(jié)果。

1.jpg

FireEye公司已開始第二次調(diào)查

FireEye公司目前表示，其已經(jīng)發(fā)現(xiàn)第二次的數(shù)據(jù)披露事件，并開始著手開展調(diào)查。

FireEye公司的一位發(fā)言人在一份郵件聲明中表示：

“我們于今天凌晨開始了對第二批泄露信息的調(diào)查。盡管攻擊者作出了提前預(yù)告，但目前的實際情況仍然符合我們于8月7日作出的說明——即沒有任何證據(jù)表明攻擊者入侵、損害或者訪問了我們的企業(yè)網(wǎng)絡(luò)。”

在第一批信息泄露后不久發(fā)布的官方博客中，已經(jīng)證實黑客方面從某位員工處竊取到了內(nèi)部數(shù)據(jù)。FireEye公司同時表示，黑客披露的文件此前已經(jīng)進行過公開發(fā)布。FireEye公司在博客中解釋稱，“攻擊者發(fā)布在網(wǎng)站之上的一部分截屏信息存在誤導(dǎo)性，而且這似乎是有意為之。他們錯誤地暗示其成功入侵了我們的企業(yè)網(wǎng)絡(luò)——事實上，我們發(fā)現(xiàn)攻擊者嘗試登錄但卻未能成功。”

FireEye對第一次泄露事件調(diào)查的總結(jié)如下：

· 攻擊者未入侵、攻擊或訪問公司網(wǎng)絡(luò)，盡管多次嘗試失敗。

· 攻擊者未入侵、攻擊或訪問受害者的個人或公司電腦、筆記本電腦和其它設(shè)備。

· FireEye證實，受害者的個人社交媒體和電子郵件賬號密碼和/或憑證在2016年(或更早)至少8起公開泄露的第三方數(shù)據(jù)泄露(包括Linked In)中被暴露。

· 2016年9月開始，攻擊者使用這些被盜的密碼和/或憑證訪問多名受害者的個人在線賬號，包括LinkedIn、Hotmail和OneDrive賬號。

· 攻擊者公開發(fā)布的三個FireEye公司文件獲取自受害者的個人在線賬號。

· 攻擊者發(fā)布的所有文件先前可公開獲取，或是攻擊者截屏。

· 大量截屏和發(fā)布在網(wǎng)上的資料具有誤導(dǎo)性，看似是故意為之。攻擊者故意誤導(dǎo)性暗示成功入侵FireEye網(wǎng)絡(luò)，然而事實是，F(xiàn)ireEye識別了攻擊者失手的登錄入侵企圖。

FireEye強調(diào)，這名受害者支持的客戶很少，只有其中兩名客戶受泄露影響。

目前尚不清楚黑客們公布的最新一批數(shù)據(jù)是否來自該Mandiant員工的個人帳戶。然而，Twitter上的部分信息社區(qū)推測實際情況應(yīng)該正是如此，黑客則只是“拖拽”操作了一下。

1.jpg

FireEye公司表示：

“我們正繼續(xù)調(diào)查這一問題，而且認為不會出現(xiàn)任何關(guān)鍵性的新發(fā)現(xiàn)。如果有其它相關(guān)信息出現(xiàn)，我們將會第一時間發(fā)布通告。我們也將繼續(xù)盡全力解決這個問題，從而維護包括執(zhí)法部門在內(nèi)的客戶、內(nèi)部調(diào)查員以及安全專家團隊對于FireEye公司的堅定信任。”