黑客组织“31337”公开挑衅Mandiant的安全能力

昨天一个名为“31337”的黑客组织在pastebin公开发布了一条信息，声称已经从一名Mandiant 工作人员入手获取到了大量的关于Mandiant和FireEye的机密信息，还在文本中附带了两个下载链接。

黑客似乎只是入侵了研究员本人，而非FireEye公司网络

此次攻击事件的1号受害者是Mandiant的一名高级威胁情报分析师，名为AdiPeretz，被盗取的加密的档案信息就是从他的个人电脑中获取的。

泄露的数据中主要包含了Adi在Mandiant工作的文件资料，考虑到黑客获取到了Adi 的OneDrive账号，所以，这些文件可以轻易的从OneDrive上获取的，而非必须是FireEye的服务器。尽管黑客们声称已经入侵了FireEye的内部网络，但从目前公开的数据来看，并没有充分的证据可以证明这一说辞。

FireEye发言人称：“当我们意识到有位Mandiant员工的社交媒体账户被攻破，就立即开始调查这一情况，并采取措施限制事件进一步被曝光。截止目前未知，没有发现任何证据可以证明Mandiant或FireEye的系统被破坏，事件仍在继续调查中。”

2014年，FireEye以10亿美元收购Mandiant公司。事发当日，FireEye的股份下降了4.85%。

事件回溯

根据“31337”在pastebin 上公布的信息，整理如下：

事件动机：挑衅／荣誉

“不是为了金钱，只是为了收获入侵一个高级的、知名的安全公司所能带来的快感。绕过他们的号称牢不可破的层层安全措施，浏览他们如何设法保护他们的客户以及他们的工程师如何逆向恶意软件，这些都让我们感到快乐。那些分析师总是试图追踪我们的攻击足迹，并以此证明他们比我们强，那就看看我们能对他们做什么吧，追踪他们的社交媒体账号、获取他们的机密资料、让他们名誉扫地、泄露他们的个人信息及工作数据……”

攻击目标：Mandiant和FireEye的高端人才

获得访问权限的初始时间：2016年；结束时间：2017年

1号受害人简介：

姓名：AdiPeretz

昵称：******

职位：Mandiant 高级威胁情报分析师

第1层级的攻击目标：Chrome，Firefox，Windows（一个安全专家竟然使用Windows系统！）

第2层级的潜在攻击目标：Outlook联系人（HVT）、以色列总理办公厅、Mandiant、FireEye内网、Hapoalim银行、Linked-in上的联系人、第三方承包商

• 入侵的深度
• Mandiant的内部网络和客户数据已经泄露（可能会分开进行披露）
• 凭据（Mandiant-FireEye的Docs文档，MandiantFireEye的WebEx资料，Mandiant – FireEye的JIRA账号，员工的电子邮件账号，Amazon账号，LinkedIn账户，以及更多可供我们后续利用的信息）
• 获得受害者的LinkedIn账号访问控制权
• 获得受害者的在用帐户的访问控制权（包括全权控制他的私人的Windows机器，GPS在线跟踪（2016-2017年），OneDrive，官方日历，联系人，寄付帐单的地址（爱尔兰和以色列））
• Paypal的发票
• 泄露的范围
• 受害者地理位置
• 绝密文件
• 凭据
• 偏好的密码模式
• 完整的企业和个人邮件拷贝
• FireEye许可证
• 私人合同
• FireEye工作表
• 网络拓扑图（可能是FireEye的核心分析实验室）
• Linked-in的通讯录

事件后续

事发之后，FireEye方面正在展开积极的调查；另一方，“31337”组织则声称，后续会逐步公开更多的数据。

“31337”在发布的文本中公开致谢 APT29、APT32、DragonOK、The Shadow Brokers和APT1，目前尚不清楚这起事件是否与上述组织有关，或者是一个集体行为。