DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
FireEye – ein CIA-Partner – hat seinen Sitz in Milpitas, Kalifornien.
FireEye – ein CIA-Partner – hat seinen Sitz in Milpitas, Kalifornien.
archivBild: keystone

Eine der bekanntesten IT-Sicherheitsfirmen wurde gehackt – das musst du wissen

Die US-Firma FireEye betreibt Schadensbegrenzung und gibt IT-Verantwortlichen Tipps, wie man sich gegen die gestohlenen Angriffswerkzeuge wappnet.
10.12.2020, 11:37

Die IT-Sicherheitsfirma FireEye, die unter anderem US-Behörden nach erfolgten Cyberattacken unterstützt, ist selbst Ziel von Hackern geworden. Dabei sei auch Angriffssoftware gestohlen worden, mit der FireEye üblicherweise die Abwehrsysteme seiner Kunden teste, gab das Unternehmen am Dienstag bekannt. Es sei noch unklar, ob diese Werkzeuge für Hackerangriffe eingesetzt werden sollen. Bisher habe FireEye keine Hinweise darauf gesehen. Man habe aber Gegenmittel entwickelt, die davor schützen sollen (siehe unten).

Kevin Mandia, CEO.
Kevin Mandia, CEO.
Bild: FireEye

Ausserdem hätten sich die Angreifer insbesondere für Informationen über Regierungskunden des Unternehmens interessiert, schreibt FireEye-Chef Kevin Mandia in einem Blogeintrag. Es sehe bisher nicht danach aus, dass sie Kundendaten aus den Speichersystemen hätten abrufen können.

FireEye gehe davon aus, dass im staatlichen Auftrag agierende Hacker hinter der Attacke stecken, betont Mandia. Darauf wiesen unter anderem die technischen Fähigkeiten und die Disziplin der Angreifer hin. FireEye habe die Bundespolizei FBI eingeschaltet. Die Aktie der Firma verlor im nachbörslichen Handel gut sieben Prozent.

Wer war es?

Das «Wall Street Journal» berichtete unter Berufung auf Ermittlerkreise, als wahrscheinliche Täter würden aktuell Hacker aus dem Umfeld des russischen Geheimdienstes gesehen. Es könne eine der Gruppen sein, die im US-Wahlkampf 2016 E-Mails der Demokratischen Partei gestohlen habe. Die Veröffentlichung der Mails hatte damals Donald Trumps Gegenkandidatin Hillary Clinton geschadet.

Den Ermittlern zufolge setzten die Hacker eine ungewöhnliche Kombination von Angriffswerkzeugen ein, von denen einige noch gar nie in Erscheinung getreten seien. «Es war der Schuss eines Scharfschützen, der durchkam», zitierte die Zeitung einen an der Untersuchung Beteiligten. «Die Angreifer haben ihre Weltklasse-Fähigkeiten speziell zugeschnitten, um FireEye zu attackieren», schreibt Mandia.

Das zum russischen Militärgeheimdienst gehörende Hackerkollektiv Sofacy Group (Fancy Bear), auch APT28 genannt, soll für Cyberangriffe in Zusammenhang mit der US-Präsidentschaftswahl 2016 verantwortlich sein.
Das zum russischen Militärgeheimdienst gehörende Hackerkollektiv Sofacy Group (Fancy Bear), auch APT28 genannt, soll für Cyberangriffe in Zusammenhang mit der US-Präsidentschaftswahl 2016 verantwortlich sein.
screenshot: crowdstrike.com

Wie schlimm ist es?

Das ist schwer abzuschätzen. Der FireEye-Chef verrät nicht, wie lange die Hacker im Firmennetzwerk unerkannt bleiben konnten und wann das Eindringen entdeckt wurde.

Die gestohlene FireEye-Software habe keine Angriffsszenarien für sogenannte «Zero-Day»-Schwachstellen enthalten, versichert Mandia. So werden Sicherheitslücken genannt, die noch nicht allgemein bekannt sind. Deshalb stehen sie für den Entdecker weit offen und sind besonders gefährlich.

Die Experten von FireEye werden bei besonders grossen oder schwerwiegenden Cyberattacken zur Hilfe gerufen. Das war zum Beispiel der Fall bei dem Angriff auf Sony Pictures Ende 2014. Damals wurde das gesamte IT-System des Hollywood-Studios lahmgelegt und grosse Datenmengen wurden gestohlen, inklusive unveröffentlichtem Filmmaterial.

Welche Folgen hat der Hackerangriff?

Nun hätten IT-Verantwortliche in aller Welt zu tun, konstatiert das deutsche Newsportal heise.de. FireEye habe bereits über 300 Ratschläge für konkrete Massnahmen veröffentlicht, «die erleichtern sollen, den Einsatz der entwendeten Werkzeuge zu entdecken. Weitere Vorschläge sollen folgen.»

Das Unternehmen hat eine Liste von Sicherheitslücken mit ihren CVE-Nummern veröffentlicht, für die nun möglichst schnell die Updates eingespielt werden sollten.

FireEye habe darüber hinaus Regeln für Software wie Yara, Snort und ClamAV veröffentlicht, die dabei helfen solle, schnell Angriffe zu erkennen, hält golem.de fest.

Die Einschätzung eines ehemaligen NSA-Hackers:

Was hat FireEye mit der CIA zu tun?

FireEye, Inc. ist ein 2004 gegründetes Unternehmen mit Sitz in Milpitas, Kalifornien. Zu den Risikokapitalgebern gehörte anfangs auch In-Q-Tel, das Investment-Team des US-Auslandsgeheimdienstes CIA. Doch handelt es sich gemäss eigenen Angaben nicht um ein Tochterunternehmen des berühmt-berüchtigten US-Auslandgeheimdienstes.

Das Unternehmen schrieb 2014:

«FireEye war nie ein CIA-Unternehmen, und wir haben nie einzigartige Informationen an Regierungsbehörden weitergegeben. Unsere Position als globales Sicherheitsunternehmen besteht darin, unabhängig von Regierungsbehörden zu sein und uns ausschliesslich auf den Schutz unserer Kunden auf der ganzen Welt zu konzentrieren.»
quelle: fireeye.com

Die CIA betrachte die Partnerschaft mit FireEye als «entscheidende Ergänzung unseres strategischen Investitionsportfolios für Sicherheitstechnologien», hiess es 2018.

US-Sanktionen wegen Hacker-Attacke
Drei Jahre nach einer potenziell verheerenden Hacker-Attacke auf eine Ölraffinerie in Saudi-Arabien hat die US-Regierung Sanktionen gegen ein russisches Forschungszentrum verhängt. Der Einsatz der unter dem Namen Triton bekannt gewordenen Angriffssoftware sei aus dem Institut für Chemie und Mechanik unterstützt worden, teilte das US-Finanzministerium am vergangenen Freitag (4. Dezember) mit. Die Moskauer Einrichtung wird durch die Sanktionen unter anderem keine Geschäfte mit Personen und Firmen aus den USA mehr machen können.

Triton ist eines der wenigen bisher bekannt gewordenen Schadprogramme, die speziell für Angriffe auf Industrieanlagen entwickelt wurden. Die Software wurde von Experten als besonders gefährlich eingeschätzt, weil sie Sicherheitskomponenten der Systeme ins Visier nimmt. Das könnte zur Zerstörung ganzer Anlagen führen, warnte unter anderem die IT-Sicherheitsfirma FireEye, die die Software nach dem Angriff 2017 analysiert hatte. FireEye stellte im Oktober 2018 eine Verbindung zu dem Moskauer Institut fest, auf dessen Netzwerk Triton getestet worden sei.

Bei der Attacke im Sommer 2017 fuhren die Steuersysteme der saudischen Ölraffinerie runter. Nach Erkenntnissen der IT-Sicherheitsfirma Dragos forschten die Entwickler von Triton im Jahr 2019 auch Energie-Infrastruktur in den USA aus.

Andere bekannt gewordene Angriffe auf Industrie-Infrastruktur waren die Stuxnet-Attacke auf Zentrifugen zur Urananreicherung im iranischen Atomwaffenprogramm vor mehr als einem Jahrzehnt sowie ein Einsatz von Schadsoftware 2016 in der Ukraine, bei dem die Energieversorgung in Teilen der Ukraine unterbrochen wurde. (sda/dpa)

Quellen

(dsc/sda/dpa)

DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Nordkoreas berüchtigte Hacker – so arbeitet die Lazarus Group

Dieser Roboter macht Rückwärtssaltos

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Anonymous «hackt» Coronaverharmloser – diese erhalten nun Post von den Hackern

Schlag von Anonymous-Aktivisten gegen die organisierte Szene der Coronaverharmloser: Das Hacker-Kollektiv ist an die Daten der mehr als 10'000 Mitglieder der deutschen Partei «dieBasis» gelangt.

Die aus der Querdenker-Szene hervorgegangene Partei «dieBasis» ist gehackt worden: Die Gruppe Anonymous ist offenbar an die Daten aller Mitglieder gelangt. «dieBasis hat ein Problem: uns», erklärt das Hackerkollektiv. Die Daten sind offenbar echt. Der deutsche watson-Medienpartner t-online hat Einblick bekommen und Stichproben prüfen können. Anonymous kündigte weitere Veröffentlichungen und Auswertungen an. Es ist aber nicht damit zu rechnen, dass Anonymous die Daten einfacher …

Artikel lesen
Link zum Artikel