US-Firma Fireeye angegriffen: Die Jäger der Cyberkriminalität werden selbst zum Opfer

Werden US-Behörden oder Unternehmen Opfer eines Cyberangriffs, wenden sie sich häufig an die amerikanische Sicherheitsfirma Fireeye. An der ist unter anderem der amerikanische Auslandsgeheimdienst, die CIA, beteiligt. Jetzt ist Fireeye selbst Opfer eines Hackerangriffs geworden.

Die Identität der Angreifer sei bisher nicht geklärt, ihr Vorgehensweise deute aber auf einen staatlich organisierten Angriff hin, schrieb Fireeye-Chef Kevin Mandia in einem Blog-Eintrag am Dienstag (Ortszeit). Die Hacker hätten es auf Informationen zu Regierungskunden sowie auf Diagnose-Anwendungen der Firma abgesehen. Nach Firmenangaben wurden „Red Team“-Anwendungen gestohlen, mit denen die Firma selbst arbeitet und dabei die Verhaltensweisen von Angreifern nachahmt, um Schwachstellen in Systemen aufzudecken.

Fireeye hat in der Vergangenheit unter anderem eine Reihe von Angriffen von nordkoreanischen Hackern auf Banken entdeckt sowie gezielte Desinformationskampagnen aus Russland und dem Iran enttarnt. Die Aktien der Firma fielen nach dem Bericht deutlich. Johannes Krupp vom Cispa Helmholtz-Zentrum für Informationssicherheit erklärt, wie der Angriff einzuordnen ist.

Herr Krupp, deutet bei diesem Angriff etwas auf einen staatlichen Akteur hin? Und wenn ja, auch welchen?
Es ist sicher davon auszugehen, dass eine IT-Sicherheitsfirma wie Fireeye gerade ihre eigenen Systeme besonders schützen wird und der Angriff so nur gezielt und mit großem Einsatz möglich war. So vermutet Fireeye selbst einen „staatlichen Akteur mit erstklassigen Offensivfähigkeiten“ hinter dem Angriff. Ohne weitere Informationen bleibt alles darüber hinaus allerdings bloßes Mutmaßen.

Welche Möglichkeiten bieten die erbeuteten Tools?
Bei dem Angriff wurden sogenannte Red Team Tools entwendet. In erster Linie handelt es sich dabei um Tools, die bekannte Schwachstellen finden und ausnutzen können. Solche Tools werden etwa verwendet, um im Rahmen eines Sicherheitschecks einen Cyberangriff auf eine Firma zu simulieren und die gefundenen Schwachstellen anschließend beheben zu können. Nach Angaben von Fireeye lassen sich mit den Tools allerdings nur bekannte Schwachstellen ausnutzen, für die es bereits Sicherheitspatches der Hersteller gibt.

© Cispa

Wie kommt eine Firma wie Fireeye überhaupt in den Besitz solcher Offensiv-Tools?
Zum einen gibt es eine Vielzahl an frei verfügbaren OpenSource Tools, etwa das bekannte Metasploit, die bei Bedarf erweitert und angepasst werden können. Zum anderen deuten die von Fireeye veröffentlichten "Gegenmaßnahmen" darauf hin, dass sich viele der Tools auch selbst entwickelt wurden, etwa um das Verhalten von beobachteter Malware nachbilden zu können.

[Wenn Sie aktuelle Nachrichten live auf Ihr Handy haben wollen, empfehlen wir Ihnen unsere App, die Sie hier für Apple- und Android-Geräte herunterladen können.]

Was müssen Unternehmen nun beachten?
Unternehmen sollten vorrangig alle verfügbaren Sicherheitspatches einspielen und ihre System auf dem neusten Stand halten. Die von Fireeye veröffentlichte Liste zeigt etwa, dass besonders Microsoft Active Directory und Exchange, sowie einige VPN-Lösungen Ziel der erbeuteten Tools sind. Es sei allerdings auch gesagt, dass sich die Bedrohungslage durch den Angriff nicht geändert hat, alle relevanten Sicherheitspatches sind schon längen verfügbar und hätten eingespielt werden können. Einzig: Tools um diese Lücken auszunutzen finden sich jetzt auch in weiteren Händen.

Welche Gefahren bestehen für private Nutzer, etwa was den Schutz des Kontos bei Amazon oder GMX angeht?
Für private Nutzer stellen die erbeuteten Tools keine Gefahr dar. Es gilt allerdings auch im privaten Bereich: Installieren Sie Sicherheitsupdates zeitnah und nutzen Sie für jeden Dienst ein eigenes Passwort, besser einen Passwortmanager. Es braucht keine staatlichen Akteure, wenn Sie ihr Amazon-Konto nur mit Nachname und Geburtsjahr absichern.