标签: 漏洞

腾讯安全捕获新威胁:利用 Hadoop Yarn REST API 未授权漏洞攻击云主机,安装多种木马通过 SSH 爆破扩散

一、概述 腾讯安全威胁情报中心检测到有攻击者利用Hadoop Yarn REST API未授权命令执行漏洞攻击云上主机,攻击成功后执行恶意命令,向系统植入挖矿木马、IRC BotNet后门、DDoS攻击木马,入侵成功后还会使用SSH爆破的方式进一步向目标网络横向扩散。 攻击者入侵成功后,会清理系统进程和文件,以清除其他资源占用较高的进程(可能是可疑挖矿木马,也可能是正常服务),以便最大化利用系统资源。入侵者同时会配置免密登录后门,以方便进行远程控制,入侵者安装的IRC后门、DDoS木马具备完整的目标扫描、下载恶意软件、执行任意命令和对特定目标进行网络攻击的能力。 通过对木马家族进行关联分析,发现本次攻击活动与永恒之蓝下载器木马关联度极高,攻击者使用的攻击套件与Outlaw僵尸网络木马高度一致,但尚不能肯定攻击活动由这两个团伙发起。 因本次攻击具有蠕虫式的扩散传播能力,可下载安装后门、执行任意命令,发起DDoS攻击,对受害单位网络信息系统安全构成严重影响。腾讯安全专家建议用户尽快修复Hadoop Yarn REST API未授权命令执行漏洞,避免采用弱口令,采用腾讯安全的技术方案检测系统,清除威胁。 Hadoop是一个由Apache基金会所开发的分布式系统基础架构,YARN是hadoop系统上的资源统一管理平台,其主要作用是实现集群资源的统一管理和调度,可以把MapReduce计算框架作为一个应用程序运行在YARN系统之上,通过YARN来管理资源。 YARN提供有默认开放在8088和8090的REST API(默认前者)允许用户直接通过API进行相关的应用创建、任务提交执行等操作。在配置不当的情况下,REST API将会开放在公网,从而导致未授权访问的风险,黑客可利用该风险进行远程命令执行,实现对目标主机的完全控制。 自查处置建议 腾讯安全专家建议受影响的用户检查以下项目,清除木马,加固系统。 目录: /tmp/.W10-unix/.rsync/ 计划任务项: 11*/2** /a/upd>/dev/null 2>&1 58**0 /b/sync>/dev/null 2>&1 @reboot /b/sync>/dev/null 2>&1 00*/3** /c/aptitude>/dev/null 2>&1 加固: 1.如果Hadoop环境仅对内网提供服务,请不要将其服务开放到外网可访问。 2.如果必须开启公网访问,Hadoop在2.X以上版本提供了安全认证功能,建议管理员升级并启用Kerberos的认证功能,阻止未经授权的访问。 腾讯安全响应清单 腾讯安全全系列产品,可以在该团伙攻击的各个环节实施检测、防御。 腾讯安全产品应对本次威胁的详细响应清单如下: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)威胁情报已加入,可赋能全网安全设备。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)该Miner挖矿团伙相关情报已支持检索,可自动关联分析到该病毒家族最新变种,使用资产。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全防护 云防火墙 (Cloud  Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,阻断恶意攻击流量,阻断恶意通信流量: 1)Miner相关联的IOCs已支持识别检测; 2)Miner利用Hadoop Yarn REST API未授权漏洞发起的恶意攻击以支持识别检测,阻断; 3)支持检测SSH爆破攻击活动。 有关云防火墙的更多信息,可参考:  https://cloud.tencent.com/product/cfw 腾讯T-Sec   主机安全 (Cloud  Workload Protection,CWP) 1)已支持Miner关联模块的检测告警、查杀清理; 2)支持检测SSH爆破攻击活动。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持: 1)Miner相关联的IOCs已支持识别检测; 2)Miner利用Hadoop Yarn REST API未授权漏洞发起的恶意攻击以支持识别检测; 3)支持对SSH爆破攻击活动进行检测。 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec 零信任无边界 访问控制系统 (iOA) 1)已支持Miner关联模块的检测告警、查杀清理。 零信任无边界访问控制系统(iOA)是腾讯结合自身丰富的网络安全管理实践经验与“零信任”理念,推出的网络边界访问管控整体解决方案。更多资料,可参考:https://s.tencent.com/product/ioa/index.html 二、详细分析 攻击者使用Hadoop命令执行入侵成功后执行恶意的经过BASE64编码的shell脚本,解码后可知,其目的是使用sftp从sshapi.netcatkit.com内下载dota3.tar.gz包,将其解压后执行目录内的initall文件和golan文件。 /tmp/.W10-unix/.rsync/initall /tmp/.W10-unix/.rsync/c/golan initall执行后则进一步对系统进程,文件进行清理,最终调用执行init2。 Intit2执行后则执行解压包内的多个文件,分别存放在a,b,c三个子文件夹。a目录下文件多层调用后执行挖矿程序;b目录多层调用后传播IRC BotNet后门木马,同时修改系统免密登录配置留下后门;c目录文件主要运行masscan做端口扫描,运行stsm(sshprank)进行暴力破解。 同时将3个目录下的主调度文件写入crontab启动项。 /.rsync/a/init0 主要功能为从文件、进程、网络对其它资源占用较高的程序进行清理,最终调用脚本执行wanwakuang的矿机文件。 /.rsync/a/a x86_64架构下执行挖矿wanwakuang,i686架构下执行anacron,但anacron模块并不存在,推测当前其挖矿平台覆盖度并不完善。 wanwakuang则为xmr矿机程序,进行门罗币挖矿。 /.rsync/b/a 进一步执行/.rsync/b/run程序。 /.rsync/b/run 该脚本主要包含两部分BASE64编码过的恶意命令,第一部分解码后为使用Perl编写的IRC BotNet木马,第二部分解码后主要为结束其它资源占用进程的shell命令,该文件同时会篡改authorized_keys文件进行免密登录后门配置。 解码后Perl编写的IRC BotNet 木马,该木马会对C2地址:api.netcatkit.com:443建立IRC连接,本地NICK,USER随机生成,管理员NICK为polly,molly。IRC连接成功后默认加入#007频道,木马具备基本的远程shell命令执行,文件下载,ddos网络攻击等功能。 指定目标进行Shell命令执行。 指定目标端口扫描,指定下载。 指定目标进行TCP,UDP,IGMP,ICMP类型流量攻击。 /.rsync/c/golan 调用masscan端口扫描工具和stsm暴力破解工具,对局域网内的开放的SSH服务进行暴破攻击,扫描时会首先获取本地SSH历史登录配置信息,通过直接攻击本地登录过的机器以提高其爆破成功率。 分析可知,该挖矿攻击代码结构,调度流程与Outlaw僵尸网络高度一致,下左图为本次捕获到的挖矿套件,右为Outlaw僵尸网络攻击套件。两者有着基本一致的包名,子模块名,脚本调度流程。不同之处为两者挖矿模块名字不同,挖矿模块存储方式分别为本地包内存储化和动态C2下载形式,同时两者使用到的扫描器有些许差异。 从其攻击方式和基础设施来看,更像是永恒之蓝家族投递,样本payload都使用netcatkit.com,sqlnetcat.com下的子域名进行托管,同时最终的包名,挖矿模块名有一致性。 下图为最近捕获的永恒之蓝下载器木马使用Hadoop Yarn REST API未授权命令执行攻击入侵,其payload托管地址为t.netcatkit.com/ln.core。 永恒之蓝payload其内当前注释掉的代码部分,下载链接包解压后执行initall:down.sqlnetcat.com/dota3.tar.gz(当前下载链接失效),dota3.tar.gz同样解压出名为的.rsync攻击套件。         IOCs MD5: 6eb76f7d81e899b29c03b8ee62d9acb3 be85068596881f3ebd6c0c76288c9415 10ea65f54f719bffcc0ae2cde450cb7a 4adb78770e06f8b257f77f555bf28065 eefc0ce93d254982fbbcd26460f3d10d be5771254df14479ad822ac0a150807a e46e8c74e2ae7d9bc2f286793fe2b6e2 c2531e3ee3b3ca43262ab638f9daa101 f093aae452fb4d8b72fe9db5f3ad559a c97485d5ba33291ed09b63286a7d124c 3570a54d6dace426e9e8520f302fe551 Domain: sshapi.sqlnetcat.com sshapi.netcatkit.com sshapi.ouler.cc api.netcatkit.com www.minpop.com t.netcatkit.com down.sqlnetcat.com URL: hxxp://www.minpop.com/sk12pack/names.php hxxp://www.minpop.com/sk12pack/idents.php  

微软承认 Windows 10 存在严重 NTFS 漏洞 承诺尽快修复

微软正努力修复存在于 Windows 10 系统中的关键 NTFS 漏洞。当用户打开 HTML 文件、Windows 快捷方式或者解压缩包含单行命令的 Zip 文件时候,这个漏洞可能会损坏用户的磁盘。在该漏洞被触发的时候,用户就会看到一个弹出窗口,表示他们需要重启电脑来修复硬盘错误,以便于重启时启动 Windows 检查磁盘实用程序来修复损坏的磁盘。 这个漏洞事实上是在两年前,由前 CERT 协调中心的安全研究员 Will Dorman 发现的。他表示 Windows 10 Version 1803 及此前版本并不受该漏洞影响,但是 Windows XP 也存在这个问题。这个漏洞相当严重,因为它可以隐藏在一个随机的文件中,并瞬间破坏你的硬盘驱动器。 更糟糕的是,Bleeping Computer发现,当Windows文件资源管理器简单地显示一个损坏的快捷方式,将恶意命令隐藏在文件夹中时,它也可以被触发。报告解释说:“为了做到这一点,Windows资源管理器会试图在后台访问文件内的手工图标路径,从而在这个过程中破坏NTFS硬盘驱动器”。 微软终于在给The Verge的一份声明中承认了这一关键漏洞,并承诺在未来的更新中进行修复。微软发言人说:“我们知道这个问题,并将在未来的版本中提供更新。这种技术的使用依赖于社交工程,我们一如既往地鼓励我们的客户在网上养成良好的计算习惯,包括在打开未知文件、或接受文件传输时谨慎行事”。         (消息来源:cnBeta;封面源自网络)

日本川崎重工披露安全漏洞

近日,日本川崎重工披露了一项安全漏洞,该公司发现多个海外办事处未授权访问日本公司服务器,该安全漏洞可能导致其海外办事处的信息被盗。 川崎重工有限公司是一家日本的跨国公司,主要生产摩托车、发动机、重型设备、航空航天、国防设备、机车车辆和船舶,也涉及工业机器人、燃气轮机、锅炉和其他工业产品的生产。 公司发布声明:“截止2020年6月11日,安全人员发现从泰国站点未经授权访问日本服务器的情况,随后又发现了从其他海外站点(印度尼西亚、菲律宾和美国)未经授权的访问日本服务器的情况。” 该公司随后加强了对海外办事处访问的监控操作,还限制了从国外对日本服务器的访问。 11月30日,公司恢复了海外办事处与日本总部之间终止的网络通信。 川崎重工有限公司表示:“经过调查,海外办事处的相关信息可能已被泄露。” 自发现该漏洞以来,川崎安全团队与外部安全专家公司合作调查并实施对策。其调查证实了信息泄露可能性。但截止目前,还未发现泄露信息的证据。 除此之外,国防承包商Pasco、神户制铁和 三菱电机等日本知名企业在今年也受到了类似的网络攻击。               消息来源:Security Affairs,封面来自网络,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

Google Docs 存在安全漏洞 可使黑客窃取私人文档

日前,谷歌反馈工具中的存在安全漏洞,可使黑客窃取私人文档。该漏洞于7月9日被安全研究员Sreeram KL发现,他因此项发现获得了$ 3133.70的奖励。 Google的许多产品,包括Google Docs,都带有“发送反馈”或“帮助提升”的选项,用户可发送反馈反映相关问题。但反馈功能部署在Google官方网站(“ www.google.com”)中,并通过iframe元素集成到其他域中,该元素从“反馈”加载.googleusercontent.com弹出式窗口。” 这意味着,每当包含Google文档窗口的屏幕被截图时,图像都需要将每个像素的RGB值传输到父域(www.google.com),然后将这些RGB值重定向到反馈域,最终构造图像并将其以Base64编码格式发送回去。 Sreeram发现了传递到“ feedback.googleusercontent.com”方式中的漏洞,使黑客可以将框架修改为任意外部网站,进而窃取Google Docs屏幕截图。 值得注意的是,该漏洞源于Google Docs域中缺少X-Frame-Options标头,这使得黑客可以更改消息的目标来源并利用页面与其中的框架之间的跨域进行通信。 尽管此类网络攻击需要一定形式的用户交互,但利用程序可以轻松捕获上传的屏幕快照的URL并将其泄漏到恶意站点。这可以通过在恶意网站上的iFrame中嵌入Google Docs文件并劫持反馈弹出框以将内容重定向到黑客选择的域来实现。 在跨域通信期间未能提供目标源会引起安全人员的注意,因为它会公开将数据发送到任意网站。 Mozilla文档警示:“恶意站点可以在用户不知情的情况下更改窗口位置,进而拦截使用postMessage发送的数据。因此当使用postMessage将数据发送到其他窗口时,请始终指定确切的目标来源,而不是* 。”               消息及封面来源:The Hacker News,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

谷歌 Project Zero 披露了 Windows 中的严重安全漏洞

谷歌 “零号项目 “专门用来发现该公司自己软件以及其他公司软件中的漏洞,并私下向供应商报告,在公开披露前给它们90天时间进行修复。根据所需修复的复杂程度,它有时还会以宽限期的形式提供额外的天数。在过去几年中,在厂商无法及时修补后,谷歌 “零号项目 “安全团队已经披露了多个安全漏洞。 访问漏洞细节: https://bugs.chromium.org/p/project-zero/issues/detail?id=2096 这包括高通Adreno GPU驱动、微软Windows、苹果macOS等当中存在的漏洞。现在,它公开披露了Windows中的一个安全漏洞,如果被人利用,会导致权限提升。 谷歌 “零号项目 “安全人员表示,恶意进程可以向splwow64.exe Windows进程发送本地过程调用(LPC)消息,攻击者可以通过它向splwow64内存空间中的任意地址写入任意值。这本质上意味着攻击者控制了这个目标地址和任何被复制到该地址的内容。 这个漏洞并不完全是新的。事实上,卡巴斯基的一位安全研究人员在今年早些时候就报告了这一问题,微软早在6月份就打了补丁。不过,这个补丁现在已经被Google Project Zero的Maddie Stone认定为不完整,他表示,微软的修复只会改变指向偏移量的指针,这意味着攻击者仍然可以使用偏移量值来攻击它。 9月24日,Google Project Zero私下向微软报告了零日的情况,标准的90天期限将于12月24日到期。微软最初计划在11月发布修复程序,但该发布时间段随后滑落到12月。之后,它告诉谷歌,它在测试中发现了新的问题,现在它将在2021年1月发布一个补丁。 12月8日,双方开会讨论了进展和下一步的计划,其中确定不能向微软提供14天的宽限期,因为该公司计划在2021年1月12日的补丁周二发布补丁,比宽限期多出6天。Project Zero团队计划在明年再次重新审视政策,但已经公开披露了该漏洞与概念验证代码。技术报告还不清楚这影响到哪些版本的Windows,但卡巴斯基几个月前的报告显示,攻击者一直在利用它来攻击新版本的Windows10。       (消息来源:cnBeta;封面来源于网络)

Project Zero 团队披露微软尚未完全修复的 Windows 10 提权漏洞

在微软今年 6 月发布的更新中,修复了存在于 Windows 系统中的一个高危漏洞,允许黑客在受感染的设备上将权限提高到内核级别。这个漏洞在今年 5 月被高级黑客作为零日漏洞使用,不过近日谷歌 Project Zero 团队使用公开的概念证明,表示这个问题依然存在,只是方法有所不同。 谷歌 Project Zero 安全研究员 Maddie Stone 发现,微软 6 月份的补丁并没有修复原来的漏洞(CVE-2020-0986),经过一些调整后,该漏洞仍然可以被利用。2020 年 5 月,该问题与 Internet Explorer中的一个允许远程代码执行的 BUG 一起被黑客利用进行权限升级。在卡巴斯基发现攻击时,这两个缺陷都是零日。 Stone 表示,攻击者现在仍然可以通过发送偏移量而不是指针来触发CVE-2020-0986,将权限增加到内核级别。在Twitter上,研究人员阐明说,最初的bug是一个任意的指针误引,允许攻击者控制memcpy函数的 “src “和 “dest “指针。 但是微软的修复补丁是不恰当的,因为微软只是将指针改为偏移,所以函数的参数仍然可以被控制。在今天的一份简短的技术报告中,她解释了如何触发该漏洞,现在确定为CVE-2020-17008。 一个低完整性的进程可以发送LPC消息到splwow64.exe(中等完整性),并在splwow64的内存空间中获得 write-what-where 权限 。攻击者通过memcpy调用控制目标、复制的内容和复制的字节数。       (消息来源:cnBeta;封面来源于网络)

近 18000 名 SolarWinds 客户安装了后门软件

企业监控软件提供商SolarWinds目前处于最严重的供应链攻击的中心,该公司表示,多达18000名客户可能安装了受污染的Orion产品。 据SolarWinds披露,这起事件很可能是外部国家对供应链进行高度复杂、有针对性和人工攻击的结果。 该公司还在其安全公告中重申,除了2019.4 HF 5和2020.2版本的SolarWinds Orion平台外,监控软件的其他版本或其他非Orion产品均未受到该漏洞的影响。 目前,关于黑客如何侵入SolarWinds网络的细节仍不清楚。根据安全研究员Vinoth Kumar的报告,一个可公开访问的SolarWinds GitHub存储库似乎正在泄露“downloads.solarwinds.com”域的FTP凭据。从而允许攻击者将伪装为Orion软件更新的恶意可执行文件上传到门户。更糟糕的是,FTP服务器受一个普通密码的保护。 在Kumar去年披露之后,该公司于2019年11月22日解决了这一配置错误。 此前一天,网络安全公司FireEye表示,他们发现了一个长达9个月的全球性入侵活动。攻击者的目标是公共和私人实体,这些实体将恶意代码引入SolarWinds Orion软件的合法软件更新中,以进入这些公司的网络并安装一个名为SUNBURST的后门(SolarWinds.Orion.Core.BusinessLayer.dll)。 微软在一份报告中表示,“恶意的DLL使用avsvmcloud.com域调用远程网络基础结构,以准备第二阶段有效负载,在组织中横向移动,泄露数据。”       消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

谷歌披露存在于高通骁龙 Adreno GPU 中的高危漏洞

谷歌 Project Zero 团队近日披露了存在于高通 Adreno GPU 的“高危”安全漏洞,不过目前高通已经发布补丁完成了修复。这个漏洞和 GPU 共享映射的处理方式有关,有关于该漏洞的详细代码细节可以访问谷歌提供的列表。 根据博文描述,Adreno GPU 驱动程序为每个内核图形支持层(KGSL)描述符链接了一个私有设备结构,而描述符包含上下文切换所需的页表。此结构与 process ID (PID) 相关联,但同一流程中可以被其他 KGSL 描述符重用,可能会提高性能。 当调用进程派生创建一个子进程时,后者也继承了最初为父进程创建的KGSL描述符的私有结构,而不是创建一个新的子进程。本质上,这给子进程(可能是攻击者)提供了对父进程将创建的后续GPU映射的读取访问权,而父进程却不知道。 可以看出,这是一个相当复杂的攻击。Google Project Zero 团队表示,在实际情况下,要想要成功利用该漏洞将要求攻击者循环 PID,然后通过崩溃 BUG 来触发 well-timed 或者系统服务重启。该漏洞可能会尝试回复受感染者 GPU 渲染的内容或者其他 GPU 操作的结果。 该漏洞已经于 9 月 15 日报告给了高通,并提出了修复建议。在 90 天的标准期限(截至 12 月 14 日)之前,高通在 12 月 7 日完成了修复并和 OEM 厂商私下共享了信息。高通表示将会在 2021 年 1 月公开该漏洞的相关细节。         (消息及封面来源:cnBeta)

2020 年披露的计算机安全漏洞数量预计将超过 2019 年

根据 Risk Based Security 公布的最新报告[PDF],虽然在今年第一季度披露的漏洞数量同比有所下降,但全年漏洞数量达到甚至超过 2019 年的水平。虽然第一季度已披露的漏洞数量同比下降了 19.2%,不过根据 Risk Based Security 的 VulnDB 团队对今年前三季度的统计,累计披露漏洞数量为 17129 个,和去年同期相比仅差 4.6%。 Risk Based Security 漏洞情报副总裁 Brian Martin 表示:“在今年第一季度末,漏洞数量比 2019 年同期锐减 19.2%。从统计学角度来说,这是非常巨大的变化。但随着 2020 年的推移,我们可以看到新冠疫情对漏洞的影响有多大”。 该报告还指出,仍有600个漏洞处于CVE保留状态,这意味着依赖CVE数据库的组织和安全产品无法找到它们的详细信息。微软在第三季度的漏洞数量增加了39%,跃升至前十名中的第九名,跃升至其他供应商。补丁星期二活动修复的漏洞数量也有所增加。 Martin 表示:“补丁星期二活动已经成为一项非常严肃的工作,可能会对 IT 团队造成难以置信的负担,这些团队的补救工作可以持续数周时间。毋庸置疑,随着星期二补丁程序工作量的增加,补救所需的时间也会随之而来。仍仅依靠 CVE / NVD 的组织,他们可能会发现,由于 MITER ‘遗漏’的漏洞数量保持一致,他们的时间表可能会进一步延长”。         (消息及封面来源:cnBeta)

美网安全巨头遭国家级攻击 专家:再专业也不能保证百分百安全

网络安全公司难道也不安全了吗?全球最大的网安公司之一、总部位于美国加州的火眼(FireEye)8日证实,该公司用于测试客户防御能力的软件工具遭到一次高度复杂的国家级别网络攻击。据美国《华尔街日报》9日报道,火眼表示,此次被黑客攻击的工具名为“红队”,此类工具可以用于检查火眼公司客户的防御系统,找出可能被攻击的漏洞。 此外,黑客还侵入了一些内部系统,主要寻求有关政府客户的信息。火眼透露,目前为止,还没有任何证据表明,存储客户数据的主系统有数据外泄。火眼公司在全球拥有大量客户,包括索尼等跨国企业,也包括美国国土安全部等美国联邦和地方政府部门。 火眼首席执行官、前空军军官凯文·曼迪亚在8日发表的一篇博客文章中说,“我的结论是,我们正在见证一场拥有顶级进攻能力的国家发动的袭击。袭击者专门针对火眼打造了世界级的攻击能力。”火眼表示,正在与美国联邦调查局(FBI)和包括微软在内的行业伙伴合作,继续调查此事。FBI网络部门助理主管马特·戈汉姆在一份书面声明中表示,“FBI正在调查这起事件,初步迹象显示,实施者的老练程度达到了国家级别。” 报道援引了解调查情况人士的话称,黑客训练有素,罕见地使用了多种攻击工具的组合,其中一些工具显然以前没有在任何已知网络攻击中使用过,老练程度非同一般,同时也展示了不寻常的意志决心,而且这些工具是专门用于破坏火眼的。这些黑客据称还采用了先进的手段来隐藏自己的活动与身份。目前还不清楚此次攻击是在何时发生的,也不清楚火眼发现被攻击的确切时间,了解调查情况的人士称,该公司并不确定攻击者是如何入侵自身系统的。 国内一名不具名的网络安全专家9日接受《环球时报》记者采访时表示,虽然火眼是全球最大的网络安全公司之一,但“没有黑不了的系统,就算再专业的安全公司也不能保证百分百安全”。这名网络安全专家表示,火眼之所以成为攻击目标,可能是由于拥有专业的网络攻击武器库,并掌握一些行业内尚未发现的漏洞,这些漏洞具有较高的价值。这并非是火眼公司首次遭到黑客攻击。2017年,火眼旗下的Mandiant公司的内网也曾被黑客入侵,导致大量内部资料泄露。 上述网络安全专家表示,由于此次攻击手段主要是APT攻击,防御难度较大。所谓APT攻击是指高级可持续威胁攻击,不仅会采用传统的网络攻击技术,也会结合一些社会工程学手段,通过人的弱点结合漏洞进行尝试攻击。 《华尔街日报》称,火眼不愿就该公司认为谁是侵入自己黑客工具的幕后黑手置评,但一位知情人士表示,包括美国情报部门在内的调查机构目前认为,俄罗斯是最有可能的罪魁祸首,但调查还在继续。该知情人士称,据信此次事件是俄罗斯对外情报局(SVR)所为。         (消息及封面来源:cnBeta)