Lösungen und Services

FireEye gibt Details eines vor Kurzem erkannten Cyberangriffs und Aktionen zum Schutz der Gesellschaft bekannt

Wenn es um den Schutz von Unternehmen und kritischen Infrastrukturen weltweit vor Cyberbedrohungen geht, stehen wir bei FireEye an vorderster Front. Wir erleben täglich mit, wie die Bedrohungslage sich zuspitzt und wie Angreifer ihre Methoden ständig weiterentwickeln. Vor Kurzem wurden wir selbst von einem äußerst versierten Hacker angegriffen, dessen diszipliniertes und umsichtiges Vorgehen und dessen Methoden uns vermuten lassen, dass es sich um einen staatlich gesponserten Angriff handelt. Unsere oberste Priorität ist die Stärkung der Sicherheitsmaßnahmen bei unseren Kunden und in der weiteren Gesellschaft. Wir hoffen, dass wir durch die Bekanntgabe von Einzelheiten über unsere Untersuchung dazu beitragen können, dass unsere ganze Gesellschaft besser für den Kampf gegen Cyberangriffe gerüstet ist.

Aufgrund meiner 25-jährigen Erfahrung im Bereich der Cybersicherheit und bei der Reaktion auf Vorfälle bin ich zu dem Schluss gekommen, dass ein Staat mit hervorragenden offensiven Cyberangriffskapazitäten hinter diesem Angriff steht. Dieser Angriff unterscheidet sich von den Zehntausenden von Angriffen, auf die wir im Verlauf der Jahre reagiert haben. Die Angreifer verfügen nicht nur über einige der weltweit besten Angriffsmethoden, sondern haben diese auch genau auf einen Angriff auf FireEye zugeschnitten. Sie sind geschult, das Erkennungsrisiko gering zu halten und gingen diszipliniert und fokussiert vor. Sie setzten alles daran, unerkannt zu bleiben und nutzten spezifische Methoden, um die Wirksamkeit unserer Sicherheitstools und forensischen Untersuchungen zu beeinträchtigen. Zudem nutzten sie eine neuartige Kombination verschiedener Techniken, die weder wir noch unsere Partner zuvor gesehen hatten.

Bei unserer derzeit laufenden Untersuchung arbeiten wir mit dem Federal Bureau of Investigation (FBI) und anderen wichtigen Partnern (wie z. B. Microsoft) zusammen. Deren erste Analysen bekräftigen unsere Einschätzung, dass wir es hier mit einem äußerst versierten, staatlich gesponserten Angreifer und neuartigen Angriffsmethoden zu tun haben.    

Unsere bisherige Untersuchung hat ergeben, dass die Angreifer gezielt nach einigen Red-Team-Tools gesucht haben, die wir zum Testen der Sicherheitsmaßnahmen bei unseren Kunden nutzen, und sich Zugang zu diesen verschaffen konnten. Mit diesen Tools ahmen wir bei den Sicherheitsbewertungen, die wir unseren Kunden anbieten, die Vorgehensweise vieler Angreifer nach. Keines dieser Tools enthält Zero-Day-Exploits. In Übereinstimmung mit unserem Unternehmensziel, die Gesellschaft zu schützen, veröffentlichen wir proaktiv Methoden und Mittel zur Erkennung der Nutzung unserer gestohlenen Red-Team-Tools.   

Wir wissen nicht, ob der oder die Angreifer beabsichtigen, unsere Red-Team-Tools zu nutzen oder zu veröffentlichen. Als Vorsichtsmaßnahme zum Schutz unserer Kunden und der Öffentlichkeit haben wir proaktiv über 300 Gegenmaßnahmen entwickelt, mit denen sich die potenziellen Auswirkungen des Diebstahls dieser Tools minimieren lassen.  

Wir haben bisher keine Hinweise auf die Nutzung der gestohlenen Red-Team-Tools durch die Angreifer gefunden. Wir, und andere in der Cybersicherheits-Community, werden weiterhin aktiv nach solchen Hinweisen Ausschau halten. Wir wollen sicherstellen, dass die gesamte Cybersicherheits-Community über das Problem informiert und vor dem Missbrauch unserer Red-Team-Tools geschützt ist. Dazu haben wir konkret die folgenden Maßnahmen eingeleitet:

  • Wir haben Gegenmaßnahmen entwickelt, mit denen die Nutzung unserer gestohlenen Red-Team-Tools erkannt bzw. blockiert werden kann.
  • Wir haben Gegenmaßnahmen in unsere Sicherheitsprodukte integriert.
  • Wir teilen diese Gegenmaßnahmen mit unseren Kollegen in der Cybersicherheits-Community, damit auch sie ihre Sicherheitstools aktualisieren können.
  • Wir haben diese Gegenmaßnahmen in unserem Blogbeitrag "Unauthorized Access of FireEye Red Team Tools" veröffentlicht.
  • Wir werden auch alle Maßnahmen, die wir in Zukunft gegen den Missbrauch dieser Red-Team-Tools entwickeln oder weiterentwickeln, umgehend verfügbar machen, sowohl öffentlich als auch durch die direkte Kommunikation mit unseren Sicherheitspartnern.

Wie die meisten staatlich gesponserten Cyberspione waren die Angreifer hauptsächlich an Informationen über unsere Kunden aus dem öffentlichen Sektor interessiert. Obwohl es ihnen gelang, auf einige unserer internen Systeme zuzugreifen, haben wir bisher keine Hinweise darauf gefunden, dass sie Daten aus den Systemen ausgeschleust haben, in denen die Kundendaten aus unseren Incident-Response-Einsätzen und Beratungsdiensten sowie die Metadaten gespeichert sind, die von unseren Produkten zur dynamischen Erstellung von Bedrohungsdaten erfasst werden. Falls wir in Zukunft feststellen, dass Kundendaten gestohlen wurden, werden wir uns direkt an die betroffenen Kunden wenden.

Wir identifizieren, katalogisieren und veröffentlichen die Aktivitäten zahlreicher APT-Gruppen (Advanced Persistent Threat) schon seit vielen Jahren, um die Cybersicherheits-Community beim Erkennen und Blockieren neu aufkommender Bedrohungen zu unterstützen.

Dabei müssen wir Tag für Tag Innovations- und Anpassungsfähigkeit unter Beweis stellen, um unsere Kunden vor Cyberkriminellen zu schützen, die die gesetzlichen und ethischen Normen unserer Gesellschaft missachten. Das ist bei diesem Vorfall nicht anders. Wir vertrauen auf die Wirksamkeit unserer Produkte und der Prozesse, mit denen wir sie weiterentwickeln. Eine Konsequenz dieses Angriffs ist, dass wir mehr über unsere Gegner gelernt haben und weiterhin lernen werden. Infolgedessen wird die ganze Cybersicherheits-Community gestärkt und besser geschützt aus diesem Vorfall hervorgehen. Wir werden uns nie davon abbringen lassen, das Richtige zu tun.

Zukunftsgerichtete Aussagen

Bei einigen der in diesem Blogbeitrag enthaltenen Aussagen handelt es sich um „zukunftsgerichtete“ Aussagen im Sinne von Abschnitt 27A des Securities Act der USA von 1933 (aktuelle Version) und Abschnitt 21E des Securities Exchange Act der USA von 1934 (aktuelle Version). Diese zukunftsgerichteten Aussagen beruhen auf unseren aktuellen Meinungen, Kenntnissen und Erwartungen und betreffen beispielsweise unsere Meinungen und Kenntnisse über das Ausmaß und die Auswirkungen der bekanntgegebenen Ereignisse und unser Verständnis des Vorfalls. Zukunftsgerichtete Aussagen beruhen auf aktuell verfügbaren Informationen und geben Meinungen, Erwartungen und Kenntnisse wider, die wir im weiteren Verlauf der Untersuchung möglicherweise revidieren werden, wenn wir mehr über den Angriffsverlauf wissen, unter anderem, wonach der/die Angreifer genau gesucht und worauf er/sie zugegriffen hat/haben. Ob die hierin enthaltenen Aussagen sich als wahr erweisen werden, hängt unter anderem von zukünftigen Ereignissen sowie von Risiken und Unwägbarkeiten ab, die sich zu einem großen Teil außerhalb unserer Kontrolle befinden und uns derzeit noch nicht bekannt sind. Zu den Risiken und Unwägbarkeiten gehören unter anderem die laufende Untersuchung und die potenzielle Entdeckung neuer Informationen über den Vorfall.

Zukunftsgerichtete Aussagen geben den Kenntnisstand zu dem Zeitpunkt wider, zu dem sie gemacht wurden. Wir beabsichtigen, weitere Informationen über den Angriff zu veröffentlichen. FireEye verpflichtet sich jedoch nicht, die hierin enthaltenen Aussagen über das gesetzlich vorgeschriebene Maß hinaus auf dem aktuellen Stand zu halten und schließt jegliche diesbezügliche Verpflichtung explizit aus.