Hacker plündern FireEye-Arsenal

In "noch nie zuvor beobachteter Weise" haben sich Angreifer an Hack-Software der IT-Sicherheitsfirma FireEye bedient. Die Firma gehört zum Teil der CIA.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 172 Beiträge
Gelbes Band mit Aufschrift "Crime Scene"

(Bild: FBI (gemeinfrei))

Von
  • Daniel AJ Sokolov

Die IT-Sicherheitsfirma FireEye ist gehackt worden. Die Täter hatten es zwar auf Kundendaten abgesehen, haben sich dann aber am Offensiv-Arsenal der Firma bedient. Nun haben IT-Verantwortliche in aller Welt zu tun. "Basierend auf meinen 25 Jahren in der IT-Sicherheit (…) bin ich zu dem Schluss gekommen, dass wir die Attacke eines Staates mit höchsten Angriffsfähigkeiten beobachten", musste FireEye-Chef Kevin Mandia eingestehen, "Diese Attacke unterscheidet sich von den Zehntausenden Vorfällen, auf die wir über die Jahre reagiert haben."

Die Angreifer hätten ihr Vorgehen auf FireEye abgestimmt und seien "mit Disziplin und Fokus" vorgegangen. "Sie haben eine neue Kombination aus Techniken eingesetzt, die wir und unsere Partner noch nicht gesehen hatten", schreibt Mandia im Firmenblog. Bislang sei noch keine aktive Nutzung der erbeuteten Angriffswerkzeuge aufgefallen. FireEyes Aktienkurs ist nach Bekanntgabe des Einbruchs im nachbörslichen Handel um mehr als sieben Prozent gefallen.

Zwischen den Zeilen beschuldigt FireEye russische Dienste der Tat. Die USA sind kaum verdächtig, da sie mit In-Q-Tel, dem Wagniskapitalarm der CIA, schon lange direkt an FireEye beteiligt sind. "Im Einklang mit staatlichen Spionagebemühungen hat der Angreifer vorrangig Informationen über bestimmte Regierungen (die Kunden FireEyes sind) gesucht", teilt Mandia mit. Soweit bislang bekannt sei es dem Angreifer nicht gelungen, Daten über Kunden und deren IT-Systeme aus FireEyes Systemen abzusaugen. Sollten entsprechende Hinweise auftauchen, werde FireEye die Betroffenen direkt kontaktieren.

Stattdessen haben sich die Täter jene Werkzeuge beschafft, die FireEyes Red Team verwendet, um im Kundenauftrag autorisierte Pentests zu fahren. Wie schlimm das ist, lässt sich noch nicht abschätzen. Stimmen die Angaben FireEyes, dürfte es weniger schlimm sein als die Einbrüche bei der NSA vor vier Jahren. Eine Gruppe namens Shadow Brokers hatte in der Folge NSA-Werkzeuge veröffentlicht, woraufhin hunderttausende Windows-Computer infiziert wurden.

FireEye gibt an, dass die Angreifer keine Zero Day Exploits und keine grundlegend neue Hack-Technik erbeutet haben. "Die gestohlenen Werkzeuge reichen von simplen Scripten für automatisierte Erforschung zu ganzen Frameworks, die öffentlich verfügbarer Technik ähneln", sagt Mandia. In die Hände der Angreifer gelangt seien aber auch "andere Werkzeuge und Frameworks, die wir selbst für unser Red Team entwickelt haben."

Der Umfang dürfte stattlich sein. FireEye hat bereits über 300 Ratschläge für konkrete Maßnahmen veröffentlicht, die erleichtern sollen, den Einsatz der entwendeten Werkzeuge zu entdecken. Weitere Vorschläge sollen folgen.

Jedenfalls sollten Updates für diese Sicherheitslücken umgehend installiert werden:

  • CVE-2014-1812 – Windows Local Privilege Escalation
  • CVE-2019-0708 – RCE of Windows Remote Desktop Services (RDS)
  • CVE-2017-11774 – RCE in Microsoft Outlook via crafted document execution (phishing)
  • CVE-2018-15961 – RCE via Adobe ColdFusion (arbitrary file upload that can be used to upload a JSP web shell)
  • CVE-2019-19781 – RCE of Citrix Application Delivery Controller and Citrix Gateway
  • CVE-2019-3398 – Confluence Authenticated Remote Code Execution
  • CVE-2019-11580 – Atlassian Crowd Remote Code Execution
  • CVE-2018-13379 – pre-auth arbitrary file reading from Fortinet Fortigate SSL VPN
  • CVE-2020-0688 – Remote Command Execution in Microsoft Exchange
  • CVE-2019-11510 – pre-auth arbitrary file reading from Pulse Secure SSL VPNs
  • CVE-2019-0604 – RCE for Microsoft Sharepoint
  • CVE-2020-10189 – RCE for ZoHo ManageEngine Desktop Central
  • CVE-2019-8394 – arbitrary pre-auth file upload to ZoHo ManageEngine ServiceDesk Plus
  • CVE-2016-0167 – local privilege escalation on older versions of Microsoft Windows
  • CVE-2020-1472 – Microsoft Active Directory escalation of privileges
  • CVE-2018-8581 – Microsoft Exchange Server escalation of privileges

Wie lange die Hacker in FireEyes Netzwerk unerkannt bleiben konnten und wann der Einbruch entdeckt wurde, verrät Mandia nicht. Sein Unternehmen hat prominente Kunden, darunter mehrere Regierungen. Aufmerksamkeit wird FireEye insbesondere dann zuteil, wenn es nach besonders großen Hacks zu Hilfe gerufen wird. Das war beispielsweise der Fall als Hacker beim Credit Bureau Equifax den Daten-Jackpot geknackt hatten, oder nach dem Sony-Pictures-Hack.

(ds)