|
FireEye APT 그룹에 의한 해킹피해 침해사고분석팀 2020.12.10 |
|
|
보안 업체인 FireEye는 국가 지원 해킹 그룹의 징후를 보이는 APT 공격 단체에 의해 해킹당했다고 밝혔다.
FireEye는 2004년 캘리포니아에 본사를 두고 설립된 사이버 보안 회사이며, 103개국에서 8500명 이상의 고객을 보유하고 있으며, 전 세계적으로 3200명 이상의 직원을 가진 회사이다.
공격자는 고객의 보안을 테스트하기 위해 FireEye의 RedTeam이 사용하는 도구를 훔칠 수 있었으며, 이는 Metasploit, cobaltStrike와 같은 도구들을 모방하도록 제작되었다.
최고 경영자 겸 이사회 이사인 Kevin Mendia는 증권거래위원회(SEC)에 제출한 자료에서 "이번 공격은 매우 정교했으며, 규율, 작전보안, 기법 등을 보았을 때 국가적 후원을 받는 단체의 공격으로 추측된다"고 말했다.
또한 "공격자들은 FireEye의 자산을 구체적으로 공략했고, 위협 탐지 보안 장비들에 대응하기 위한 전술을 사용했으며, 현재까지 조사한 결과, 공격자들은 RedTeam의 평가 툴을 타겟으로 삼고 공격한 것으로 드러났다"고 말했다.
하지만 유출된 도구 중 0-Day 익스플로잇이 포함된 도구는 없으며, 이러한 공격을 탐지하기 위한 방법이 사전에 공개되어 있었다.
이들 중 대부분이 이미 보안 커뮤니티에서 공유되었으며, FireEye의 CommandoVM 오픈소스 가상 머신의 일부로 배포되어 왔다.
도난당한 도구를 이용한 실제 공격 정황은 아직 발견되지 않았으며, FireEye는 이러한 도구에 의한 공격을 탐지하기 위한 Snort와 Yara Rule을 GitHub에 공개했다. [링크] https://github.com/fireeye/red_team_tool_countermeasures
출처 |
