특정 정부의 지원을 받는 전문 해커가 유명 보안 업체인 FireEye의 모의 해킹 도구를 탈취했다.
FireEye의 CEO인 Kevin Mandia는 블로그를 통해서 국가적인 지원을 받는 해커에게 Redteam의 모의해킹 도구를 탈취당했다고 밝혔다.
수년동안 흔히 보아왔던 공격과 다르게 고도로 정교화된 공격을 받았다고 말하며 국가의 지원으로 훈련을 받은 자들로 특히 운영 보안에 있어서 전문가로 추정된다고 밝혔다. 짜임새 있는 공격으로 은밀하게 활동하면서 보안 장비와 포렌식 조사를 무력화하였으며 전혀 보지 못한 새로운 기술을 사용하기도 했다고 전했다.
현재 FBI와 Microsoft가 조사 중에 있으며 고객사 정보나 FireEye의 메타 데이터가 탈취되진 않은 것으로 파악했다.
이번 공격으로 FireEye는 모의 해킹 도구가 탈취되었다고 밝혔으며 이를 통해 고객 기업들에 악의적인 사용 시도에 대한 탐지방안을 제공하고 있다. 또한, 아직까지 악의적 사용 시도가 탐지되지는 않았지만 이미 300개 이상의 대책을 마련했다고 하며 아래 github 주소에 이를 공개하였다 (https://github.com/fireeye/red_team_tool_countermeasures)
특히나 이번 모의해킹 도구를 통해서 보안 솔루션들을 회피하여 은밀하게 공격하는 데 매우 유용할 것으로 보고 있다 그렇기에 FireEye 솔루션을 사용 중인 고객이라면 빠르게 대응 도구를 받아 점검하는 것이 필요하다. 또한, FireEye 솔루션을 사용하지 않더라도 대응 도구를 통해서 탐지하지 못하는 변화한 모의 해킹 도구가 장기적으로 이용될 수 있기에 이상 징후에 대해 보다 주의 깊게 확인하면서 보안에 신경 써야 할 것으로 보인다.
[참고자료]
https://us-cert.cisa.gov/ncas/current-activity/2020/12/08/theft-fireeye-red-team-tools
https://grahamcluley.com/fireeye-hacked-what-you-need-to-know/
https://github.com/fireeye/red_team_tool_countermeasures
보안관제센터 Team MIR