FireEye: Wenn Hacker eine Sicherheitsfirma plündern

Publiziert am 9. Dezember 2020 von Günter Born

[English]Es ist der absolute GAU für die teilweise in CIA-Besitz befindliche Sicherheitsfirma FireEye. Mutmaßlich staatliche Hacker sind in deren interne Netzwerke eingedrungen, um nach Kundendaten zu suchen, haben dabei aber deren Red-Team-Tools erbeutet.

Anzeige

FireEye Inc. ist ein börsennotiertes Unternehmen mit Sitz in Milpitas, Kalifornien, USA, das Netzwerksicherheits-Software und -Dienstleistungen anbietet. 2016 hatte die Firma 3.200 Angestellte. Das Hauptprodukt namens „FireEye Malware Protection System" ist eine Software zur Angrifferkennung. Sie arbeitet auf der Grundlage von Datenverkehrsanalyse mittels Signaturen und heuristischen Methoden, um verdächtiges Verhalten auszumachen und versucht dann mittels Wiedereinspielung gegen eine Sandbox eine Kompromittierung nachzuvollziehen. Die Software wird als revolutionäre Lösung gegen fortschrittliche Schadprogramme wie Advanced Persistent Threats und Zero-Day-Exploits vermarktet. Zu den Risikokapitalgebern der 2004 von eine Sun-Ingenieur gegründeten Firma gehörte anfangs auch In-Q-Tel, das Investment-Team des US-Auslandsgeheimdienstes CIA.

KRITIS-Netzwerk
(Quelle: Pexels Markus Spiske CC0 Lizenz)

FireEye: Wir wurden gehackt

In einer Mitteilung mit dem Titel Unauthorized Access of FireEye Red Team Tools musste FireEye am 8. Dezember 2020 einen Hack eingestehen. In der Mitteilung heißt es:

Ein hochentwickelter, vom Staat gesponserter, Gegner stahl Werkzeuge des FireEye Red Teams. Da wir glauben, dass ein Gegner diese Werkzeuge besitzt, und wir nicht wissen, ob der Angreifer beabsichtigt, die gestohlenen Werkzeuge selbst zu benutzen oder sie öffentlich bekannt zu machen, veröffentlicht FireEye mit diesem Blog-Beitrag Hunderte von Gegenmaßnahmen, um es der breiteren Sicherheitsgemeinschaft zu ermöglichen, sich gegen diese Werkzeuge zu schützen.

Oder auf einen kurzen Nenner gebracht: Die unbekannten Hacker haben die Tools des 'Red Teams' entwendet. Als Red Team wird eine unabhängige Gruppe bezeichnet, welche Sicherheitslücken aufzuspüren soll, bevor ein externer Dritter diese ausnutzen kann. Wer diese Tools besitzt, kann diese einsetzen, um unbekannte Schwachstellen zu finden.

Die gestohlenen Tools reichen von einfachen Skripten zur Automatisierung der Aufklärung eines Angriffs bis hin zu ganzen Frameworks, die öffentlich verfügbaren Technologien wie CobaltStrike und Metasploit ähneln. Viele der FireEye Red Team-Tools wurden zwar bereits für die Allgemeinheit freigegeben und werden bereits in der virtuellen Open-Source-Maschine CommandoVM verteilt. Aber doof ist es schon, wenn die Kronjuwelen abhanden kommen.

FireEye schreibt, dass die vom Angreifer gestohlenen Werkzeuge des Roten Teams keine Zero-Day-Exploits enthielten bzw. ausnutzten. Die Werkzeuge wenden bekannte und dokumentierte Methoden an, die weltweit von anderen Red Teams verwendet werden.  Trotzdem ist der Klau der Tools natürlich der GAU für die Sicherheitsverantwortlichen.

Schadensbegrenzung durch FireEye

FireEye behauptet, bereits Gegenmaßnahmen in seine FireEye-Produkte integriert zu haben. Weiterhin wurden die Abwehrstrategie – und diese Gegenmaßnahmen mit Partnern, Regierungsbehörden, geteilt – um die Fähigkeit des Gegners, der die Tools von Red Team auszunutzen, erheblich einzuschränken. Eine Liste der Gegenmaßnahmen findet sich auf dem FireEye GitHub-Repository. Sprich: FireEye versucht sich momentan in Schadensbegrenzung, nachdem der Krug in den Brunnen gefallen ist. Die Kollegen von heise haben hier eine Liste mit CVE veröffentlicht, die bei Angriffen ausgenutzt werden können. Administratoren sollten die Schwachstellen in den Systemen also zügig patchen.

Hacker wollten Kundenlisten

Die Angreifer waren wohl primär auf die Kundenlisten mit den Namen staatlicher Stellen aus, wie das Unternehmen eingestand. Experten vermuten, dass die Kundenlisten möglicherweise bei künftigen Angriffen auf eine Vielzahl von US-amerikanischen und westlichen nationalen Sicherheitsbehörden und Unternehmen, genutzt werden könnten bzw. sollten. Bisher gäbe es aber laut FireEye keine Beweise dafür, dass die Daten von Kunden, die auf FireEye-Primärsystemen gespeichert waren, abgesaugt worden seien.

Anzeige

"Ich bin zu dem Schluss gekommen, dass wir Zeugen eines Angriffs einer Nation mit offensiven Fähigkeiten auf höchster Ebene sind", gestand Kevin Mandia, der Vorstandsvorsitzende von FireEye und ehemaliger Luftwaffenoffizier, in einem Blog-Beitrag. "Die Angreifer haben ihre Weltklasse-Fähigkeiten speziell auf das Ziel und den Angriff von FireEye zugeschnitten". Der Angriff unterschied sich von dem, was FireEye seit Jahren in freier Wildbahn gesehen habe. Das Unternehmen hält sich aber mit der Benennung der staatlichen Hackergruppe zurück.

Eine mit der Angelegenheit vertraut Person wird vom Wallstreet Journal (WSJ) so zitiert, dass Russland derzeit von Ermittlern, einschließlich der US-Geheimdienste, als der wahrscheinlichste Täter angesehen wird. Die Quelle betonte jedoch, dass die Ermittlungen fortgesetzt würden. Der Moskauer Auslandsgeheimdienst, bekannt als SVR und eine von zwei russischen Gruppen, die das Demokratische Nationalkomitee vor den Präsidentschaftswahlen 2016 hackten, werde für verantwortlich gehalten, sagte die Person.

FireEye ist in schlechter Gesellschaft mit anderen gehackten Sicherheitsfirmen. Die Kollegen von Bleeping Computer haben hier eine Liste früherer Hacks von Firmen wie Avast, Kaspersky, Trend Micro oder Google etc. zusammen getragen. Und da hecheln die Berater immer noch der Mär hinterher, mit einer Advanced Thread Protection-Lösung könne man Angreifer aus seinen IT-Netzwerken oder aus der Cloud heraushalten.

Ähnliche Artikel:
FireEye: Wenn Hacker eine Sicherheitsfirma plündern
US-Finanzministerium und weitere US-Behörde gehackt
SolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzmaßnahmen
SolarWinds-Produkte mit SunBurst-Backdoor, Ursache für FireEye- und US-Behörden-Hacks
Schlamperei bei SolarWinds für kompromittierte Software verantwortlich?
Neues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt
SUNBURST-Malware wurde in SolarWinds Quellcode-Basis eingeschleust
SolarWinds-Hack: Auch Microsoft & Co. betroffen?

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu FireEye: Wenn Hacker eine Sicherheitsfirma plündern

  1. voko sagt:
    9. Dezember 2020 um 22:11 Uhr

    Wieder einmal unseren russischen Freunde. Oder waren es doch die Nordkoreaner oder die Chinesen oder die……….
    Komisch-immer die gleichen Phrasen.

    Antworten
  2. Paul sagt:
    9. Dezember 2020 um 23:22 Uhr

    Warum will ein Hacker die Kunden dieser Fire-Firma kennen?
    Damit er weiß, aha wir müßten da jetzt rein, aber die sind Kunde, von fire und da die Fire-Abwehr-Tools so formidabel (*) funktionieren, suchen wir lieber einen anderen Weg, ehe wir uns die Finger verbrennen?
    Oder die Fire-Produkte (US-Firma) haben geheime Hintertüren für Lawful-Inspection oder anderer unbekannte Exploits.
    Kenne ich die Kunden, kann ich dort -sehr einfach- weitere Kunden suchen oder andere interessante Info finden?

    (*) Immerhin scheinen sie hinterher den Weg rekonstruiert zu haben. Kann auch nicht jeder.

    Antworten
  3. Stephan sagt:
    20. Dezember 2020 um 11:23 Uhr

    „Ich bin zu dem Schluss gekommen, dass wir Zeugen eines Angriffs einer Nation mit offensiven Fähigkeiten auf höchster Ebene sind", gestand Kevin Mandia, der Vorstandsvorsitzende von FireEye und ehemaliger Luftwaffenoffizier, in einem Blog-Beitrag.

    Heute wissen wir, daß es anders war.

    Antworten

Schreibe einen Kommentar zu voko Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.