Aus den Tiefen des Internets: Hackerattacke auf Cyber-Security-Firma!

FireEye ist ein börsennotiertes Cyber-Sicherheitsunternehmen in Kalifornien, das sich mit der Aufdeckung und Verhinderung von Cyber-Angriffen befasst. Es beschäftigt 3200 Menschen, hat namhafte globale Grosskunden wie das Finanzunternehmen JP Morgan Chase oder das Entertainment Unternehmen Sony Film und ist bekannt dafür, hochkarätige Hacker-Gruppen aufzuspüren. Einer solchen ist es nun gelungen, zumindest kurzfristig den Spiess umzukehren. Wie viele andere Cybersicherheitsunternehmen setzt FireEye digitale Werkzeuge ein, um die Tools der Hacker zu emulieren. Um die Sicherheit in der IT-Infrastruktur der Kunden zu verbessern, sucht FireEye – genau wie ein echter Angreifer – mit derartigen Tools Schwachstellen in deren Systemen ausnutzen. Dabei nutzt das Unternehmen das Know-how, dass es bei der Analyse echter Hackertools, die bei Angriffen auf Kunden eingesetzt wurden, gewinnen konnte. Diese sogenannten Red-Team-Tools sind es, die gestohlen wurden.

Wer steckt hinter dem Angriff?

Der Hacker-Angriff auf FireEye war so raffiniert und erfolgreich, dass das Unternehmen die Hilfe des FBI und branchenverwandter Unternehmen wie Microsoft in Anspruch nimmt. Die Washington Post will in Erfahrung gebracht haben, wer hinter dem Angriff steht: Es handle sich um Hacker einer Gruppe namens APT 29 oder “Cozy Bear“, die dem russischen Auslandsgeheimdienst SVR zugeschrieben werde. Das ist aber nur eine, wenn auch immer wiederkehrende Vermutung.

Immerhin: FireEye betont, dass keines der gestohlenen Tools sogenannte Zero-Day-Exploit-Mechanismen nutze, die geheime, ungepatchte Software-Schwachstellen als Angriffsziel haben - was sie extrem gefährlich machen würde. Eine Zero-Day-Schwachstelle ist eine Lücke in Computersoftware, die denjenigen, die an einer Behebung interessiert sind, nicht bekannt ist. Solange die Schwachstelle nicht behoben ist, kann sie bei einem Angriff als Einfallstor genutzt werden.[ii]

300 Gegenmassnahmen, um die eigenen Tools auszuhebeln

Bei FireEye geht man offenbar davon aus, dass die Hacker die gestohlenen Tools selbst nutzen, sie mit anderen teilen oder öffentlich bekannt machen werden. FireEye-CEO Kevin Mandia gab bekannt, dass FireEye mehr als 300 Gegenmassnahmen anbiete, die es erschweren sollen, die gestohlenen Hackerwerkzeuge effektiv einzusetzen. Das Unternehmen hat diese digitalen Gegenmittel, hauptsächlich Erkennungsmechanismen und Blockierwerkzeuge, in seine eigenen Sicherheitsprodukte integriert, sie mit anderen Firmen geteilt und auch öffentlich zugänglich gemacht.[iii]

Der Angriff hat auch Gerüchte einer CIA-Beteiligung an FireEye wieder an die Oberfläche gebracht. Das Unternehmen hat allerdings immer betont, dass das nicht stimme. Man kümmere sich ausschliesslich um den Schutz der Kunden, unabhängig von jeglichen Regierungsbehörden.

Hacker kennen keine Landesgrenzen

Weil Cyber-Kriminelle ohne Rücksicht auf Grenzen agieren, könnte sich der FireEye-Hack auch in der Schweiz auswirken. Zwar gibt es gemäss Maik Paprott, dem UMB Security Intelligence Team Leader, noch keinen damit verbundenen Zwischenfall. Cyber Angriffe würden aber wahrscheinlich an Schärfe zunehmen; nur sauberes und kontinuierliches Vulnerability-Management biete Schutz davor.

Cyber Defense Center: Wo sich Angreifer die Zähne ausbeissen. 

Das UMB Cyber Defense Center übernimmt auf Wunsch die gesamte Verantwortung für Ihre IT-Security. Wir machen Ihre IT-Umgebung in kurzer Zeit sicher. Unser Security Intelligence Team hat bereits die nötigen Schritte eingeleitet, um die IT-Infrastrukturen unserer Kunden gegen die neuen bekanntgewordenen Bedrohungen abzusichern. Kontaktieren Sie uns.

[ii] https://en.wikipedia.org/wiki/Zero-day (computing)

[iii] https://github.com/fireeye/red_team_tool_countermeasures