FireEye于12月8日透露，其內部網絡被某個“擁有一流網絡攻擊能力的國家”所突破。該公司解釋稱，黑客使用“全新技術”竊取了FireEye掌握的安全工具套件，這也可能成為全球新一波攻擊浪潮的起點。

　　多年以來，網絡安全廠商FireEye一直在幫助全球各地的政府機構與企業盡早發現攻擊跡象、應對高水平攻擊行動并預防黑客攻擊事態。但現在看來，黑客一方也在采取報復措施。

　　在這場驚人的網絡盜竊案中，黑客方面一舉奪取了FireEye所使用的網絡武器庫，可被用于在世界范圍內發起新的攻擊。由于事關重大，FireEye在本周二發現事件后不久，就將情況通報給FBI方面。

　　FireEye創始人凱文·曼迪亞（Kevin Mandia）親自發文稱：

　　根據我25年的網絡安全經驗和對事件的響應，我得出的結論是，我們目睹了一個擁有一流進攻能力的國家的襲擊。這次攻擊與多年來我們應對的成千上萬起事件不同。

　　攻擊者量身定制了其世界一流的功能，專門針對和攻擊FireEye。他們在操作安全方面接受過嚴格的培訓，并有紀律和專注地執行。他們秘密采取行動，使用對抗安全工具和法醫檢查的方法。他們使用了我們或我們的合作伙伴過去從未見過的新穎技術組合。

　　我們正在與聯邦調查局和包括Microsoft在內的其他主要合作伙伴進行積極的調查合作。他們的初步分析支持了我們的結論，即這是使用新技術由國家資助的高度復雜的攻擊者的工作。

　　在迄今為止的調查中，我們發現攻擊者針對并訪問了某些紅隊滲透測試工具，這些工具用于測試客戶的安全性。這些工具模仿了許多網絡威脅參與者（APT組織）的行為，并使FireEye能夠為我們的客戶提供基本的診斷安全服務。這些工具都沒有包含0day漏洞。與保護社區的目標一致，我們正在積極發布方法和手段來檢測盜用的Red Team工具的使用。

　　我們不確定攻擊者是否打算使用我們的Red Team工具或公開披露它們。但是，出于謹慎考慮，我們已經為客戶和整個社區開發了300多種對策，以盡量減少盜竊這些工具的潛在影響。

　　　　網絡武器庫泄露，影響堪比方程式被黑

　　這家市值高達35億美元的安全公司，一直在依靠揪出各類安全違規事件的幕后黑手來賺取利潤。FireEye曾先后幫助索尼及Equifax處理安全問題，在行業內享有盛譽。這一次，他們拒絕透露攻擊的幕后黑手，只表示攻擊目標指向的是FireEye掌握的“Red Team/紅隊工具”。

　　從本質上講，紅隊工具是一種網絡武器庫，能夠復制全球最復雜的黑客攻擊方法。在企業或政府機構客戶的允許下，FireEye會使用這些工具查找對方系統中的漏洞。目前大多數工具都被保存在由FireEye密切監控的數字保險庫當中。

　　安全人士認為，火眼被入侵事件可謂是本年度安全行業最重大的事件，其影響堪比NSA 的方程式組織（ Equation Group ）被入侵，將使 FireEye 所面臨的巨大挑戰。

　　FBI懷疑為俄羅斯國家黑客所為

　　FBI確認稱此次黑客入侵確實屬于國家支持行動，但并沒有挑明具體是哪個國家，但根據事件描述以及FBI隨后將案件移交給對俄專家的行為，幾乎可以肯定問題出自俄方。FBI網絡部門副主任Matt Gorham提到，“FBI正在介入調查。初步跡象表明，攻擊者的攻擊水平與技術成熟度堪與民族國家比肩。”

　　此次黑客攻擊很可能是俄羅斯乘機而入之舉，意在利用包括FireEye在內的美國各方專注于保護最新一輪總統大選的機會。毫無疑問，就在全美公共及私有情報機構都在積極監控選民登記系統及投票機的同時，俄羅斯作為很可能曾在2016年大選期間有所行動的外國勢力，自然不會坐失良機。

　　泄露或引發攻擊者濫用

　　自從2016年美國國家安全局（NSA）的網絡安全工具被某神秘組織（自稱為「影子經紀人」，其身份至今未被識破）竊取以來，本輪黑客入侵成為已被發現的最大規模網絡武器盜竊事件。過去幾個月來，影子經紀人在網上發布大量NSA黑客工具，相當于把美國向來引以為傲的“數字王國之鑰”交給了民族國家與黑客組織。最終，朝鮮與俄羅斯使用這批武器對全球各大企業集團、醫院及政府機構發動破壞性攻擊，造成的損失超過100億美元。

　　作為美國政府專門打造的獨門數字武器，NSA的工具儲備可能比FireEye的更強大。相比之下，此次外泄的紅隊工具主要由惡意軟件構成，供FireEye進行各類攻擊模擬。

　　盡管如此，這批工具仍有著巨大的價值，民族國家完全可以借此發動攻擊并隱藏行跡。

　　前NSA網安專家、現任軟件公司Jamf首席安全研究員的Patrick Wardle表示，“黑客可以利用FireEye的工具，以合理的方式大肆入侵各類高風險、高知名度目標。在風險較高的環境當中，攻擊方當然不想動用自己的核心工具儲備。直接借用FireEye的工具，能夠推遲其亮出獨門絕技并降低由此導致身份暴露的可能性。”

　　某個國家贊助的黑客組織此前曾在全球攻擊活動中使用NSA黑客工具，要不是最終在其儲備庫中發現了NSA工具，真相恐怕永遠無法昭示。Wardle指出，“借用他人的工具確實是種既簡單又有效的攻擊方法。”

　　FireEye仍在繼續調查

　　對FireEye而言，此次攻擊則堪稱奇恥大辱。在2014年遭受毀滅性攻擊之后，該公司調查人員與索尼開展合作，最終將事件歸因于朝鮮。2015年美國國務院及其他多個政府部門遭受俄羅斯攻擊后，FireEye同樣受命調查。三年之前因黑客入侵導致美國近半數人口信用監管資料泄露的Equifax案，也有FireEye的參與。正是擁有如此輝煌的戰績，才讓FireEye對這次事件特別難以接受。

　　在本輪攻擊中，黑客竭盡所能隱藏起自己的行跡。他們創建了數千個互聯網協議地址，其中不少是美國本土地址，而且此前從未被用于實際攻擊。利用這些地址，黑客幾乎可以徹底隱藏在燈影之下。

　　FireEye公司首席執行官Kevin Mandia指出，“此次攻擊與多年以來我們應對過的無數安全事件都不相同。”

　　FireEye方面坦言，由于嚴重缺乏細節線索，他們仍在調查黑客究竟如何突破其嚴密防線。

　　曾任美國空軍情報官員的Mandia表示，攻擊者“量身定制了一套世界一流的攻擊體系，專門用于針對FireEye。”攻擊方似乎在“行動安全”方面接受過嚴格的訓練，表現出極強的“紀律性與專注度”，同時秘密行事以逃避安全工具及取證檢查的檢測。谷歌、微軟及其他參與網絡安全調查的企業也表示，其中涉及不少此前從未出現過的技術。

　　FireEye還發布了其紅隊工具中的不少關鍵元素，幫助各潛在目標準確判斷后續攻擊活動的走勢。

　　美國調查人員還試圖確定此次攻擊是否與NSA本周一披露的另一樁俄羅斯攻擊活動有關。在該事件中，俄羅斯方面將矛頭指向國防企業及制造商所廣泛使用的一大核心軟件——虛擬機。NSA拒絕透露攻擊的具體目標，目前也不清楚俄羅斯方面是否在FireEye突破戰中也使用到這一技術。

　　針對FireEye的攻擊很可能是一種報復行為。該公司調查人員此前曾多次揭露，俄羅斯軍事情報部門GRU、SVR、以及前蘇聯時期KGB的繼任機構FSB針對烏克蘭及美國政府當局發起的嚴重黑客攻擊。此外，在沙特石化廠工業安全鎖被網絡攻擊破壞之后，也是FireEye首先發現事件背后很可能是俄羅斯黑客在作祟。

　　行業專家評論

　　華盛頓戰略與國際研究中心的網絡安全專家James A. Lewis提到，“俄羅斯有很強的報復心理。幾乎在一夜之間，FireEye的客戶開始人人自危。”

　　本周二，俄羅斯國家國際信息安全協會與全球安全專家召開了一場論壇，俄羅斯官員再次聲稱，美國提出的制裁與指控缺乏實質性證據的支持。

　　事實上，安全企業一直是民族國家與黑客團伙的主要攻擊目標之一，部分原因在于其安全工具往往能夠對全球企業及政府客戶發起深度訪問。通過入侵這些工具并竊取源代碼，間諜及黑客將在受害者的系統中找到駐留點。

　　作為重量級安全廠商，McAfee、賽門鐵克以及Trend Micro的代碼于去年遭到某使用憑證的黑客團伙的劫持。2017年，俄羅斯安全廠商卡巴斯基遭到以色列黑客攻擊。2012年，賽門鐵克還曾確認其一部分反病毒源代碼遭到黑客竊取。