В начале августа 2017 года хакерская группа 31337 опубликовала на Pastebin ссылки на личные данные специалиста Mandiant Ади Переца (Adi Peretz), который занимает в компании пост главного аналитика угроз. Таким образом злоумышленники похвастались взломом компании FireEye. Дело в том, что FireEye приобрела Mandiant Security в 2014 году за миллиард долларов, и с тех пор последняя фактически является подразделением ИБ-гиганта.
Злоумышленники заявляли, что им удалось проникнуть глубоко в инфраструктуру Mandiant и FireEye, и это лишь начало масштабной операции #LeakTheAnalyst, где Перец стал «жертвой №1». Никаких доказательств этих громких заявлений группировка не предоставила, но пообещала продолжить публикации и посрамить как можно больше ИБ-специалистов.
Теперь компания FireEye опубликовала результаты предварительного расследования инцидента. Как и предполагалось ранее, 31337 не взламывали Mandiant и FireEye и не проникали в их корпоративные сети, хотя в отчете сказано, что хакеры неоднократно пытались. В свою очередь, Ади Перец пострадал от компрометации личных аккаунтов LinkedIn, Hotmail и OneDrive, именно так хакерская группа получила его список контактов из Outlook, личные письма и различную корпоративную PDF-документацию. Представители FireEye подчеркивают, что все украденные документы ранее уже публиковались в открытом доступе, и никаких секретов в них не было.
Сообщается, что Переца взломали благодаря утечкам данных у сторонних компаний. Напомню, что в прошлом LinkedIn и Hotmail допускали масштабные утечки пользовательских данных. И хотя OneDrive не страдал от подобных проблем, можно предположить, что специалист Mandiant использовал одни и те же пароли для разных сервисов и сайтов, не менял их, а также, по всей видимости, не пользовался двухфакторной аутентификацией.
