파이어아이 스토리

FireEye, 최근 사이버 공격에 대한 세부 정보 공유, 커뮤니티 보호 조치

FireEye는 사이버 위협으로부터 전 세계적으로 기업과 중요 인프라를 방어하는 최전선에 서 있습니다. 우리는 증가하는 위협을 직접 목격하고 사이버 위협이 항상 진화하고 있음을 알고 있습니다. 최근에 국가가 후원하는 공격이라고 믿게 하는 매우 정교한 위협 행위자의 공격을 받았습니다. 우리의 최우선 과제는 고객과 광범위한 커뮤니티에 대한 보안을 강화하는 것입니다. 우리는 조사의 세부 사항을 공유함으로써 전체 커뮤니티가 사이버 공격에 맞서 싸울 수 있도록 더 잘 준비되기를 바랍니다.

25 년간의 사이버 보안과 사고 대응을 바탕으로 조사한 결과, 특정 정부가 후원하는 최고 수준의 공격 능력을 가진 공격자들이란 결론을 내렸습니다. 이 공격은 우리가 수년 동안 대응해온 수만 건의 사건과는 다릅니다. 공격자들은 FireEye를 목표로 하고 공격하기 위해 특별히 세계적 수준의 맞춤형 공격을 수행하였습니다. 그들은 운영 보안에 대해 고도로 훈련을 받았으며, 집중적으로 실행하였습니다. 그들은 보안 도구와 법의학 조사(Forensic)에 대응하는 방법을 사용하여 은밀하게 작업했습니다. 그들은 과거에 우리 또는 우리 파트너가 목격하지 못한 새로운 기술 조합을 사용했습니다.

우리는 연방 수사국 및 Microsoft를 포함한 기타 주요 파트너와 협력하여 적극적으로 조사하고 있습니다. 그들의 초기 분석은 이것이 새로운 기술을 사용하는 고도로 정교한 국가 후원 공격자의 작업이라는 결론을 뒷받침합니다.

지금까지 조사한 결과 공격자가 고객의 보안을 테스트하는 데 사용하는 특정 Red Team 평가 도구를 표적으로 삼아 액세스 한 것으로 확인되었습니다. 이러한 도구는 많은 사이버 위협 행위자의 행동을 모방하고 FireEye가 고객에게 필수 진단 보안 서비스를 제공 할 수 있도록 합니다. 어떤 도구도 제로 데이 공격을 포함하지 않습니다. 커뮤니티를 보호하려는 우리의 목표에 따라 우리는 도난당한 Red Team(Mandiant 서비스명) 도구의 사용을 감지하는 방법과 수단을 적극적으로 공개하고 있습니다.

공격자가 Red Team 도구를 사용하거나 공개 할 의도가 있는지 확실하지 않습니다. 그럼에도 불구하고 우리는 이러한 도구의 도난으로 인한 잠재적 인 영향을 최소화하기 위해 고객과 커뮤니티 전체가 사용할 수 있는 300개 이상의 대응책을 개발했습니다.

지금까지 공격자가 도난당한 Red Team 도구를 사용했다는 증거는 확인되지 않았습니다. 우리뿐만 아니라 보안 커뮤니티의 다른 사람들도 이러한 활동을 계속 모니터링 할 것입니다. 현재 우리는 전체 보안 커뮤니티가 이러한 Red Team 도구의 사용 시도를 인식하고 보호 할 수 있도록 하고 싶습니다.

특히 우리가 하는 일은 다음과 같습니다.

  • 도난당한 Red Team 도구의 사용을 감지하거나 차단할 수 있는 대책을 마련했습니다.
  • FireEye 보안 제품에 대한 대책을 구현했습니다.
  • FireEye는 보안 커뮤니티에 있는 동료들이 그들의 보안 도구를 업데이트 할 수 있도록 대책을 공유하고 있습니다.
  • FireEye는 대응책으로 Red Team 도구를 탐지 할 수 있도록 GitHub에 룰을 공개하였습니다.
  • Red Team 도구에 대한 추가 완화 조치가 공개되면 보안 파트너와 직접적으로 공유하고 개선 할 것입니다.

국가간 사이버 스파이 (Nation-state cyber-espionage) 활동과 일치하여, 공격자는 주로 특정 정부 고객과 관련된 정보를 찾았습니다. 공격자가 일부 내부 시스템에 액세스 할 수 있었지만, 현재 조사 시점에서 공격자가 침해조사(IR)관련 고객정보가 저장된 주요 시스템, 컨설팅 업무, DTI(dynamic threat intelligence) 시스템에서 데이터를 유출했다는 증거는 발견하지 못했습니다. 만약에 고객 정보가 유출 된 것을 발견하면 직접 연락을 드리겠습니다.

수년 동안 우리는 많은 APT (Advanced Persistent Threat) 그룹의 활동을 식별, 분류 및 공개하여 더 광범위한 보안 커뮤니티가 새로운 위협을 감지하고 차단할 수 있도록 지원했습니다.

파이어아이는 사회의 법적 및 윤리적 경계를 벗어나는 위협 행위자로부터 고객을 보호하기 위해 매일 대응하고 혁신을 하였습니다. 이 이벤트는 다르지 않습니다. 우리는 우리의 제품을 개선하고, 그들에 대하여 프로세스를 개선하는 것을 확신합니다. 우리는 이 공격의 결과로 우리의 적들에 대해 더 많이 배우고 계속해서 배우고 있으며, 더 큰 보안 커뮤니티가 이 사건으로부터 더 잘 보호 될 것입니다. 우리는 옳은 일을 하는 것을 결코 그만두지 않을 것입니다.