FireEye公布調查進展：Mandiant內網未遭遇入侵

E安全8月12日訊 7月底，FireEye 旗下公司Mandiant公司被曝疑似遭到黑客入侵，一名資深威脅情報分析師的設備遭遇入侵，導致公司內部資料被泄。FireEye為此展開調查，併發布了最新調查進展。

黑客泄露的資料為337MB PST文件，其中包含分析師阿迪·佩雷茨的電子郵件，另外還包含賬號圖片：One Drive、Live、LinkedIn、至少一年的個人設備地理位置跟蹤、賬單記錄及PayPal收據。

FireEye否認系統遭遇入侵，而黑客卻聲稱泄露的Mandiant內部資料是OpLeakTheAnalyst行動的一部分。

美國當地時間8月7日，FireEye發布了該事件的最新調查進展。FireEye表示，黑客並未入侵該公司的網路或佩雷茨的個人或公司電腦。

佩雷茨使用的登錄憑證在過去多起數據泄露事件中被暴露，包括LinkedIn賬號。

FireEye專家發現，攻擊者2016年9月開始使用竊取的憑證訪問多名受害者的個人在線賬號（LinkedIn、Hotmail 和OneDrive賬號）

公開發布的這些資料從受害者的個人在線賬號獲取，其中許多資料可在線獲取。

FireEye目前對事件調查的總結如下：

· 攻擊者未入侵、攻擊或訪問公司網路，儘管多次嘗試失敗。

· 攻擊者未入侵、攻擊或訪問受害者的個人或公司電腦、筆記本電腦和其它設備。

· FireEye證實，受害者的個人社交媒體和電子郵件賬號密碼和/或憑證在2016年（或更早）至少8起公開泄露的第三方數據泄露（包括Linked In）中被暴露。

· 2016年9月開始，攻擊者使用這些被盜的密碼和/或憑證訪問多名受害者的個人在線賬號，包括LinkedIn、Hotmail和OneDrive賬號。

· 攻擊者公開發布的三個FireEye公司文件獲取自受害者的個人在線賬號。

· 攻擊者發布的所有文件先前可公開獲取，或是攻擊者截屏。

· 大量截屏和發布在網上的資料具有誤導性，看似是故意為之。攻擊者故意誤導性暗示成功入侵FireEye網路，然而事實是，FireEye識別了攻擊者失手的登錄入侵企圖。

FireEye強調，這名受害者支持的客戶很少，只有其中兩名客戶受泄露影響。

FireEye事件發生后採取的措施如下：

· 得知這起事件后，FireEye聯繫了兩名經確定受影響的客戶，並告知具體情形。

· 立即控制了受害者的系統。

· 收集並審查了受害者系統的取證數據。

· 停用了受害者的FireEye公司賬號。

· 與受害者一起恢復他個人在線賬號的控制權。

· 與受害者一起保護個人在線賬號安全，包括採用多因素認證。

· 與所有FireEye員工溝通（口頭及書面），提醒保持警覺性，並提供詳細的步驟保護個人賬戶安全。

· 與受害者和第三方服務提供商合作獲取任何可用的日誌數據，協助調查。

· 審查受害者FireEye電子郵箱與在線賬號的收發數據。

· 審查受害者公司、單點登錄（SSO）、多因素和第三方賬號的驗證與訪問活動。

事件調查仍在繼續。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。聯繫方式：① 微信號zhu-geliang ②郵箱[email protected]

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考，歡迎關注微信公眾號「E安全」（EAQapp），或登E安全門戶網站www.easyaq.com , 查看更多精彩內容。