von Bhabesh Raj Rai, Associate Security Analytics Engineer

Am Dienstag, den 8. Dezember, gab FireEye bekannt, dass das Unternehmen von einer staatlichen Gruppierung, vermutlich aus Russland, kompromittiert wurde. Diese nutzte hochentwickelte, neue Techniken, um ihre Red-Team-Tools zu stehlen. Der FireEye-Hack gilt damit als der größte bekannte Diebstahl von Cybersicherheitstools seit die NSA von ShadowBrokers gehackt wurde.

Das FBI bestätigte, dass das Eindringen das Werk einer staatlichen Organisation war, lehnte es jedoch ab, weitere Kommentare abzugeben. FireEye gab das Ausmaß des Eindringens nicht bekannt, sodass Experten vorerst nur über den Schaden spekulieren können. Viele Mitglieder in der Infosec-Community haben sich zu dem Hacking-Angriff geäußert und verschiedene Theorien aufgestellt. So sollen die Hacker beispielsweise keine Red-Team-Tools oder Kundendaten gestohlen haben, sondern vertrauliche Erkenntnisse zu hochkarätigen Bedrohungsgruppen.

Auswirkungen des Angriffs

Gelangen Cybertools, die eigentlich für eine offensive Sicherheitsstrategie eingesetzt werden sollten, in die Hände von Angreifern, kann dies schwerwiegende Folgen haben. Die Nutzung gestohlener Offensive Security Tools (OST) erschwert die Zuordnung, welche Akteure für einen Angriff verantwortlich sind, und ermöglicht es staatlichen Gruppierungen, ihre Herkunft zu verschleiern.

FireEye stellte jedoch klar, dass die gestohlenen Red-Team-Tools keine Zero-Day-Exploits umfassten, sondern nur bekannte und dokumentierte Methoden, die von Red-Teams weltweit bereits eingesetzt werden. Obwohl FireEye davon ausgeht, dass der Diebstahl die offensiven Angriffsmöglichkeiten der Hacker nicht wesentlich verbessern wird, hat das Unternehmen bereits Gegenmaßnahmen entwickelt, um seine Kunden und die Infosec-Community zu schützen. Damit Unternehmen die Nutzung gestohlener Tools erkennen können, hat FireEye diese Gegenmaßnahmen veröffentlicht, die aus Hunderten von Signaturen für bereits verfügbare Technologien wie OpenIOC, Yara, Snort und ClamAV bestehen.

Erkennung von möglichen Gefahren im eigenen Unternehmen

LogPoint-Kunden können die veröffentlichten Snort-Regeln verwenden, um zu erkennen, ob die offensiven Tools gegen sie eingesetzt werden.

(norm_id=Snort OR norm_id=SuricataIDS) message IN FEYE_RED_TOOLS_SIGS

Der Sicherheitsforscher Florian Roth hat die Liste der Übereinstimmungen der YARA-Regeln von FireEye veröffentlicht. LogPoint-Kunden können die Hash-Werte als Indicators of Compromise (IoCs) verwenden, und sie mit den Events zur Prozesserzeugung in Sysmon vergleichen.

norm_id=WindowsSysmon label="Process" label=Create hash IN FEYE_RED_TOOLS_HASHES

Abgesehen von den Endpunkten, kann LogPoint die IoC-Hash-Werte mit anderen Quellen korrelieren, beispielsweise Firewalls oder Antiviren-Lösungen.

hash IN FEYE_RED_TOOLS_HASHES

If Sysmon is not deployed in the environment, customers can use the process names instead, but this yields many false positives and is not recommended. 

norm_id=WinServer label="Process" label=Create "process" IN FEYE_RED_TOOLS_NAMES

Falls Sysmon in einer IT-Umgebung nicht zum Einsatz kommt, können LogPoint-Kunden stattdessen die Prozessnamen verwenden. Dies führt jedoch zu vielen Fehlalarmen und ist nicht empfehlenswert. LogPoint-Kunden können drei Listen verwenden: FEYE_RED_TOOLS_SIGS, die aus IoC-Snort-Regelnamen besteht, FEYE_RED_TOOLS_HASHES, die aus Hash-Werten besteht, und FEYE_RED_TOOLS_NAMES, die aus Prozessnamen besteht.

Dieser aufsehenerregende Hacker-Angriff auf Spezialisten für Cybersicherheit bestätigt ein weiteres Mal, dass kein Unternehmen vor professionell organisierten Angreifern sicher ist und es nur eine Frage der Zeit ist, wann ein Unternehmen kompromittiert wird. Die unbegrenzten Ressourcen an Zeit und Geld, die diesen Gefährdern zur Verfügung stehen, können selbst die Sicherheitsmaßnahmen gut geschützter Unternehmen aushebeln.

Die Infosec-Community wartet nun auf einen detaillierten Bericht über den Vorfall. Sobald dieser veröffentlicht ist, müssen alle Sicherheitsverantwortlichen in den Unternehmen bereit sein, neue Maßnahmen aufzusetzen, um die TTPs, die diese professionellen Angreifer nutzen, zu erkennen.