Giám đốc điều hành Kevin Mandia đã chia sẻ một số chi tiết về cách công ty của ông bắt nguồn từ chiến dịch tấn công mạng lớn ảnh hưởng đến mạng lưới công ty và chính phủ Hoa Kỳ.
Giám đốc điều hành FireEye Kevin Mandia hôm nay đã chia sẻ một số thông tin chi tiết về tấn công mạng vào công ty bảo mật đó là manh mối đầu tiên cho một chiến dịch tấn công quy mô và trên diện rộng nhằm vào một số mạng lưới thương mại và chính phủ lớn của Hoa Kỳ.
Trong một hội thảo ngày hôm nay do Viện Aspen tổ chức, Mandia đã mô tả cách công ty của ông lần đầu tiên nhận ra vấn đề nghiêm trọng. cuộc tấn công nó đã phải chịu đựng, mô tả việc một chiếc điện thoại mới đăng ký sử dụng tài khoản người dùng FireEye là dấu hiệu đầu tiên của hoạt động độc hại. “Trong trường hợp cụ thể này, sự kiện được thông báo ngắn gọn cho tôi và khiến chúng tôi phải lên tiếng và tuyên bố đây là một sự cố toàn diện là ai đó đã truy cập vào mạng của chúng tôi giống như chúng tôi, nhưng họ đang thực hiện việc đó bằng thiết bị đã đăng ký thứ hai,” anh ấy nói. giải thích. Người dùng FireEye có tài khoản được liên kết với quyền truy cập bị gắn cờ đã được liên hệ và hỏi liệu anh ta đã đăng ký điện thoại mới chưa, nhưng anh ta chưa đăng ký.
Mandia cho biết: “Mặc dù ban đầu đây là cảnh báo không có mức độ nghiêm trọng”, nhưng đó là bằng chứng về một sự kiện an ninh lớn. Ông nói: “Chúng tôi đã có ai đó bỏ qua xác thực hai yếu tố của chúng tôi bằng cách đăng ký một thiết bị mới và truy cập vào mạng của chúng tôi giống như nhân viên của chúng tôi, nhưng thực tế đó không phải là nhân viên của chúng tôi” làm việc đó.
Thông tin chi tiết về chiếc điện thoại bất hợp pháp được sử dụng trong vụ tấn công đã được công bố lần đầu tiên được báo cáo bởi Yahoo News tháng trước, trong một cuộc phỏng vấn với Charles Carmakal, phó chủ tịch cấp cao và CTO của FireEye. “Họ phải cung cấp thông tin xác thực để xác thực [thiết bị của họ] với [hệ thống xác thực đa yếu tố] nhằm xác thực với FireEye VPN,” Carmakal nói với Yahoo News. “Đó là quá trình mà kẻ tấn công tuân theo để đăng ký vào giải pháp MFA, đây chính là nguyên nhân tạo ra cảnh báo. Nhưng tại thời điểm này, kẻ tấn công đã có tên người dùng và mật khẩu của nhân viên.”
Mandia cho rằng phương thức tấn công đó là một lá cờ đỏ lớn. Mandia lưu ý: “Ngay khi chúng tôi nhìn thấy điều đó, chúng tôi đã nhận ra rằng đó là loại hình mà các nhóm công nghệ tiên tiến sẽ làm. Không có phần mềm độc hại và dưới vỏ bọc của một người dùng hợp pháp, “làm chính xác những gì nhân viên của bạn làm khi họ đi làm hàng ngày”.
“Không có cây đũa thần nào… tìm ra cửa sau trong phần mềm mà tất cả chúng ta mua và tin tưởng,” ông nói. Ông nói: “Điều khiến chúng tôi thực hiện công việc [giải mã] đó, trên thực tế, là tất cả các hoạt động điều tra” mà chúng tôi đã tiến hành trước đó. FireEye đã điều tra các hoạt động chụp gói và nhật ký phần mềm điều tra trên các điểm cuối của nó và tìm thấy một chủ đề chung: “Nó liên tục sao lưu vào, bằng chứng sớm nhất về sự thỏa hiệp đối với chúng tôi là hệ thống chứa sản phẩm SolarWinds,” ông nói. Vì vậy, công ty đã tiến hành giải mã mã và tìm thấy 4,000 dòng mã độc.
Những kẻ tấn công đã cài phần mềm độc hại vào các bản cập nhật hợp pháp cho phần mềm quản lý mạng Orion của SolarWinds và được gửi tới khoảng 18,000 khách hàng khu vực công và tư nhân sử dụng phần mềm này. Theo đánh giá của tình báo Mỹ, một số lượng rất nhỏ các tổ chức này thực sự đã trở thành mục tiêu và bị xâm phạm.
Cuộc tấn công vào FireEye
Mandia cho biết, giai đoạn một của cuộc tấn công đã cài cửa sau vào mạng của FireEye thông qua nền tảng SolarWinds. Ông cho biết, giai đoạn hai sử dụng cửa sau để truy cập thông tin đăng nhập tên miền, chẳng hạn như tài khoản người dùng và cụm mật khẩu. Mandia cho biết: “Giai đoạn ba là lấy chứng chỉ ký mã thông báo để truy cập O365, có thể dành cho các tài khoản email cụ thể”. Giai đoạn cuối cùng của cuộc tấn công FireEye là đánh cắp các công cụ của đội đỏ.
Mandia cho biết anh chưa thấy nhiều vụ vi phạm “.com” đối với loại hình gián điệp này, vì vậy nhóm tấn công đằng sau vụ này “có mùi khác”.
Trong khi cộng đồng tình báo Mỹ cũng như một số quan chức chính phủ và chuyên gia an ninh đã trích dẫn Nga là thủ phạm, FireEye đã không làm như vậy. Công ty đã quy cuộc tấn công cho một nhóm hoặc quốc gia không xác định hoặc chưa được phân loại. “Chúng tôi chưa đưa ra bất kỳ ghi nhận nào ngoài việc gán hoạt động này cho UNC 2452. Nhóm UNC, viết tắt của cụm từ chưa được phân loại, là một cụm hoạt động xâm nhập mạng — bao gồm các tạo phẩm có thể quan sát được như cơ sở hạ tầng, công cụ và thủ công của đối thủ — mà chúng tôi không vẫn sẵn sàng đưa ra phân loại như APT hoặc FIN,” người phát ngôn của FireEye cho biết. “Khi chúng tôi thu thập thêm thông tin tình báo, hoạt động của nhóm UNC có thể được chỉ định cho một nhóm hiện có, chuyển sang nhóm mới hoặc đơn giản là không được phân loại.”
Kelly Jackson Higgins là Biên tập viên Điều hành của Dark Reading. Cô ấy là một nhà báo kinh doanh và công nghệ kỳ cựu từng đoạt giải thưởng với hơn hai thập kỷ kinh nghiệm làm báo cáo và biên tập cho các ấn phẩm khác nhau, bao gồm Máy tính mạng, Doanh nghiệp an toàn… Xem Full Bio
Đề nghị đọc:
Thông tin chi tiết
- "
- 000
- truy cập
- Tài khoản
- thêm vào
- Tất cả
- APT
- Xác thực
- cửa sau
- Đen
- vi phạm
- kinh doanh
- Chiến dịch
- giám đốc điều hành
- Charles
- phân loại
- mã
- thương gia
- Chung
- cộng đồng
- công ty
- máy tính
- Credentials
- CTO
- khách hàng
- Tấn công mạng
- ngày
- phát hiện
- nhân viên
- Doanh nghiệp
- gián điệp
- Sự kiện
- điều hành
- các chuyên gia
- tìm thấy
- Tên
- Full
- Chính phủ
- Nhóm
- Độ đáng tin của
- HTTPS
- Bao gồm
- Cơ sở hạ tầng
- Sự thông minh
- Phỏng vấn
- IT
- nhà báo
- Led
- chính
- phần mềm độc hại
- quản lý
- MFA
- mạng
- mạng
- tin tức
- gọi món
- Mật khẩu
- nền tảng
- Chủ tịch
- riêng
- Sản phẩm
- công khai
- ấn phẩm
- mua
- Reading
- an ninh
- chia sẻ
- ngắn
- nhỏ
- So
- Phần mềm
- người phát ngôn
- Traineeship
- hệ thống
- Công nghệ
- trộm cắp
- mã thông báo
- NIỀM TIN
- Cập nhật
- us
- chính phủ Mỹ
- cựu chiến binh
- Phó Chủ Tịch
- VPN
- đũa phép
- Công việc
- Yahoo