VG-Wort Pixel

Fireeye Geht es um Rache? Hacker knacken Cybersicherheits-Tochter der CIA - und machen gefährliche Beute

Die Hacker von APT28 werden dem russischen Geheimdienst GRU zugeordnet (Symbolbild)
Die Hacker hatten Fireeye nicht zufällig als Ziel gewählt
© South_agency / Getty Images
Wenn Firmen und Staaten von Hackern attackiert werden, wird oft Fireeye als Feuerwehr zur Hilfe geholt. Nun wurde die Firma selbst zum Opfer eines Angriffs. Und die Beute dürfte der Welt noch eine Menge Kopfschmerzen bereiten.

Sie sind eine Art digitaler Sicherheitsdienst. Wird ein Unternehmen oder eine staatliche Institution attackiert, sind die Experten von Fireeye schnell zur Stelle. Sie analysieren den Hack, stopfen Löcher und fahnden nach den Schuldigen. Der nun entdeckte Angriff auf die Sicherheits-Firma ist daher durchaus ein Schock. Zumal ein staatlicher Akteur dahinter vermutet wird.

"Diese Attacke ist anders als die zehntausenden Vorfälle, die wir im Laufe der Jahre untersucht haben", erklärt der Firmen-Chef Kevin Mandia im Blog des Unternehmens. Wie ernst die Lage ist, zeigt, dass er sich das erste Mal selbst dort zu Wort meldet. Denn bei dem Hack handelt es sich nicht um ein Versehen von irgendeinem dahergelaufenen Online-Erpresser, ist Mandia sicher: "Die Angreifer haben ihre Fähigkeiten auf Weltklasse-Niveau gezielt gebündelt, um Fireeye anzugreifen."

Zielgenaue Attacke

Als Drahtzieher sei eigentlich nur ein staatlicher Akteur denkbar, erklärt Mandia. Denn nur die könnten auf diesem extrem hohen Niveau operieren. Der Angriff sei mit hoher Präzession und mit gut verborgenen Methoden begangen worden, die gezielt die zahlreichen Sicherheitsmaßnahmen der Experten umgangen hätten. Das habe eine gemeinsam mit einem Ermittlungsteam des FBI durchgeführte Untersuchung ergeben. "Sie haben eine neuartige Kombination von Techniken angewandt, die so weder von uns noch von unseren Partnern jemals gesehen wurden." 

Dass es sich um staatliche Akteure handelt, lasse sich auch aus der Auswahl der gestohlenen Daten herauslesen. Die Angreifer hätten sich vor allem für die Informationen zu Regierungs-Kunden des Unternehmens interessiert. Fireeye, das zum Teil durch die CIA-Investmentfirma In-Q-Tel finanziert wurde, ist wegen seines hohen Grades an Expertise oft die erste Anlaufstelle für Angriffe auf staatliche Stellen. Es hätten sich aber keine Anzeichen gefunden, dass es den Angreifern tatsächlich gelungen sei, Daten über Kunden aus den Servern abgreifen zu können, erklärte Mandia.

Die Gefahr ist noch nicht gebannt

Dafür machten sie an anderer Stelle wertvolle Beute, gab der Chef des Unternehmens zerknirscht zu. Den Hackern sei es gelungen, "Werkzeuge" des sogenannten Red Teams abzugreifen. So bezeichnet man Hacker, die innerhalb des Unternehmens wie bei einer externen Attacke vorgehen, um so Sicherheitslücken aufzudecken. Von tatsächlichen Angreifern unterscheidet sie also nur die Motivation, nicht das Vorgehen. Die Werkzeuge, die sie dabei benutzen, lassen sich dadurch genauso für Attacken auf Dritte verwenden, wie von bösartigen Hackern entwickelte Programme. 

Dass Akteuren, denen ein Hack einer extrem gut gesicherte Firma wie Fireeye gelingen kann, nun noch weitere hochentwickelte Werkzeuge zur Verfügung stehen, ist beunruhigend. Eine letzte Bedrohung diesen Ausmaßes hatte es gegeben, als 2016 die Angriffswerkzeuge der NSA von einer Gruppe namens "Shadow Broker" gestohlen und im Darknet angeboten wurden. Kein Wunder, dass Fireeye alles unternimmt, um die Gefahr durch die eigene Software zu verringern. Die Experten haben zahlreiche Signaturen veröffentlicht, mit denen die Benutzung der gestohlenen Programmen erkannt werden kann, auch Anleitungen zu Gegenmaßnahmen gibt es. Bisher scheint es noch keine Anzeichen für einen Missbrauch zu geben. 

Die Spur führt nach Russland

Einen Verdacht, welcher Staat genau hinter dem Angriff steckt, hat Fireeye bislang nicht öffentlich geäußert. Einen Hinweis gibt es vom FBI. Laut einem Bericht der "New York Times" hat die US-Bundespolizei sich zwar ebenfalls nicht zur Herkunft äußern wollen, intern seien die Ermittlungen aber an die Russland-Abteilung übertragen worden. Sollte tatsächlich Russland hinter Aktion stehen, könnte es auch um offene Rechnungen gehen. "Für Russen ist Rache wichtig", zitiert die Zeitung den Sicherheitsexperten James A. Lewis. Fireeye hatte mehrfach russische Gruppen unter Leitung des militärischen Geheimdienstes GRU als Drahtzieher hinter Angriffen genannt. Mit dem Hack und den gestohlenen Werkzeugen könne man den Gegner nun bloßstellen, so Lewis. "Plötzlich sind Fireeyes Kunden angreifbar."  

Quellen:Fireeye, New York Times


Mehr zum Thema


Wissenscommunity


Newsticker