{"id":238612,"date":"2020-12-09T16:18:28","date_gmt":"2020-12-09T15:18:28","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=238612"},"modified":"2020-12-18T19:35:06","modified_gmt":"2020-12-18T18:35:06","slug":"fireeye-wenn-hacker-eine-sicherheitsfirma-plndern","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/12\/09\/fireeye-wenn-hacker-eine-sicherheitsfirma-plndern\/","title":{"rendered":"FireEye: Wenn Hacker eine Sicherheitsfirma plündern"},"content":{"rendered":"

[English<\/a>]Es ist der absolute GAU f\u00fcr die teilweise in CIA-Besitz befindliche Sicherheitsfirma FireEye. Mutma\u00dflich staatliche Hacker sind in deren interne Netzwerke eingedrungen, um nach Kundendaten zu suchen, haben dabei aber deren Red-Team-Tools erbeutet.<\/p>\n

<\/p>\n

\"\"FireEye<\/a> Inc. ist ein b\u00f6rsennotiertes Unternehmen mit Sitz in Milpitas, Kalifornien, USA, das Netzwerksicherheits-Software und -Dienstleistungen anbietet. 2016 hatte die Firma 3.200 Angestellte. Das Hauptprodukt namens \u201eFireEye Malware Protection System\" ist eine Software zur Angrifferkennung. Sie arbeitet auf der Grundlage von Datenverkehrsanalyse mittels Signaturen und heuristischen Methoden, um verd\u00e4chtiges Verhalten auszumachen und versucht dann mittels Wiedereinspielung gegen eine Sandbox eine Kompromittierung nachzuvollziehen. Die Software wird als revolution\u00e4re L\u00f6sung gegen fortschrittliche Schadprogramme wie Advanced Persistent Threats und Zero-Day-Exploits vermarktet. Zu den Risikokapitalgebern der 2004 von eine Sun-Ingenieur gegr\u00fcndeten Firma geh\u00f6rte anfangs auch In-Q-Tel<\/a>, das Investment-Team des US-Auslandsgeheimdienstes CIA.<\/p>\n

\"KRITIS-Netzwerk\"
\n(Quelle: Pexels Markus Spiske CC0 Lizenz)<\/p>\n

FireEye: Wir wurden gehackt<\/h2>\n

In einer Mitteilung mit dem Titel Unauthorized Access of FireEye Red Team Tools<\/a> musste FireEye am 8. Dezember 2020 einen Hack eingestehen. In der Mitteilung hei\u00dft es:<\/p>\n

Ein hochentwickelter, vom Staat gesponserter, Gegner stahl Werkzeuge des FireEye Red Teams. Da wir glauben, dass ein Gegner diese Werkzeuge besitzt, und wir nicht wissen, ob der Angreifer beabsichtigt, die gestohlenen Werkzeuge selbst zu benutzen oder sie \u00f6ffentlich bekannt zu machen, ver\u00f6ffentlicht FireEye mit diesem Blog-Beitrag Hunderte von Gegenma\u00dfnahmen, um es der breiteren Sicherheitsgemeinschaft zu erm\u00f6glichen, sich gegen diese Werkzeuge zu sch\u00fctzen.<\/p><\/blockquote>\n

Oder auf einen kurzen Nenner gebracht: Die unbekannten Hacker haben die Tools des 'Red Teams' entwendet. Als Red Team wird eine unabh\u00e4ngige Gruppe bezeichnet, welche Sicherheitsl\u00fccken aufzusp\u00fcren soll, bevor ein externer Dritter diese ausnutzen kann. Wer diese Tools besitzt, kann diese einsetzen, um unbekannte Schwachstellen zu finden.<\/p>\n

Die gestohlenen Tools reichen von einfachen Skripten zur Automatisierung der Aufkl\u00e4rung eines Angriffs bis hin zu ganzen Frameworks, die \u00f6ffentlich verf\u00fcgbaren Technologien wie CobaltStrike und Metasploit \u00e4hneln. Viele der FireEye Red Team-Tools wurden zwar bereits f\u00fcr die Allgemeinheit freigegeben und werden bereits in der virtuellen Open-Source-Maschine CommandoVM verteilt. Aber doof ist es schon, wenn die Kronjuwelen abhanden kommen.<\/p>\n

FireEye schreibt, dass die vom Angreifer gestohlenen Werkzeuge des Roten Teams keine Zero-Day-Exploits enthielten bzw. ausnutzten. Die Werkzeuge wenden bekannte und dokumentierte Methoden an, die weltweit von anderen Red Teams verwendet werden.\u00a0 Trotzdem ist der Klau der Tools nat\u00fcrlich der GAU f\u00fcr die Sicherheitsverantwortlichen.<\/p>\n

Schadensbegrenzung durch FireEye<\/h2>\n

FireEye behauptet, bereits Gegenma\u00dfnahmen in seine FireEye-Produkte integriert zu haben. Weiterhin wurden die Abwehrstrategie – und diese Gegenma\u00dfnahmen mit Partnern, Regierungsbeh\u00f6rden, geteilt – um die F\u00e4higkeit des Gegners, der die Tools von Red Team auszunutzen, erheblich einzuschr\u00e4nken. Eine Liste der Gegenma\u00dfnahmen findet sich auf dem FireEye GitHub-Repository<\/a>. Sprich: FireEye versucht sich momentan in Schadensbegrenzung, nachdem der Krug in den Brunnen gefallen ist. Die Kollegen von heise haben hier eine Liste<\/a> mit CVE ver\u00f6ffentlicht, die bei Angriffen ausgenutzt werden k\u00f6nnen. Administratoren sollten die Schwachstellen in den Systemen also z\u00fcgig patchen.<\/p>\n

Hacker wollten Kundenlisten<\/h2>\n

Die Angreifer waren wohl prim\u00e4r auf die Kundenlisten mit den Namen staatlicher Stellen aus, wie das Unternehmen eingestand. Experten vermuten, dass die Kundenlisten m\u00f6glicherweise bei k\u00fcnftigen Angriffen auf eine Vielzahl von US-amerikanischen und westlichen nationalen Sicherheitsbeh\u00f6rden und Unternehmen, genutzt werden k\u00f6nnten bzw. sollten. Bisher g\u00e4be es aber laut FireEye keine Beweise daf\u00fcr, dass die Daten von Kunden, die auf FireEye-Prim\u00e4rsystemen gespeichert waren, abgesaugt worden seien.<\/p>\n

\"Ich bin zu dem Schluss gekommen, dass wir Zeugen eines Angriffs einer Nation mit offensiven F\u00e4higkeiten auf h\u00f6chster Ebene sind\", gestand Kevin Mandia, der Vorstandsvorsitzende von FireEye und ehemaliger Luftwaffenoffizier, in einem Blog-Beitrag<\/a>. \"Die Angreifer haben ihre Weltklasse-F\u00e4higkeiten speziell auf das Ziel und den Angriff von FireEye zugeschnitten\". Der Angriff unterschied sich von dem, was FireEye seit Jahren in freier Wildbahn gesehen habe. Das Unternehmen h\u00e4lt sich aber mit der Benennung der staatlichen Hackergruppe zur\u00fcck.<\/p>\n

Eine mit der Angelegenheit vertraut Person wird vom Wallstreet Journal<\/a> (WSJ) so zitiert, dass Russland derzeit von Ermittlern, einschlie\u00dflich der US-Geheimdienste, als der wahrscheinlichste T\u00e4ter angesehen wird. Die Quelle betonte jedoch, dass die Ermittlungen fortgesetzt w\u00fcrden. Der Moskauer Auslandsgeheimdienst, bekannt als SVR und eine von zwei russischen Gruppen, die das Demokratische Nationalkomitee vor den Pr\u00e4sidentschaftswahlen 2016 hackten, werde f\u00fcr verantwortlich gehalten, sagte die Person.<\/p>\n

FireEye ist in schlechter Gesellschaft mit anderen gehackten Sicherheitsfirmen. Die Kollegen von Bleeping Computer haben hier<\/a> eine Liste fr\u00fcherer Hacks von Firmen wie Avast, Kaspersky, Trend Micro oder Google etc. zusammen getragen. Und da hecheln die Berater immer noch der M\u00e4r hinterher, mit einer Advanced Thread Protection-L\u00f6sung k\u00f6nne man Angreifer aus seinen IT-Netzwerken oder aus der Cloud heraushalten.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nFireEye: Wenn Hacker eine Sicherheitsfirma pl\u00fcndern<\/a>
\nUS-Finanzministerium und weitere US-Beh\u00f6rde gehackt<\/a>
\nSolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzma\u00dfnahmen<\/a>
\nSolarWinds-Produkte mit SunBurst-Backdoor, Ursache f\u00fcr FireEye- und US-Beh\u00f6rden-Hacks<\/a>
\nSchlamperei bei SolarWinds f\u00fcr kompromittierte Software verantwortlich?<\/a>
\nNeues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt<\/a>
\nSUNBURST-Malware wurde in SolarWinds Quellcode-Basis eingeschleust<\/a>
\nSolarWinds-Hack: Auch Microsoft & Co. betroffen?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Es ist der absolute GAU f\u00fcr die teilweise in CIA-Besitz befindliche Sicherheitsfirma FireEye. Mutma\u00dflich staatliche Hacker sind in deren interne Netzwerke eingedrungen, um nach Kundendaten zu suchen, haben dabei aber deren Red-Team-Tools erbeutet.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4101,4328],"class_list":["post-238612","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-hacker","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/238612","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=238612"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/238612\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=238612"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=238612"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=238612"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}