Erfolgreicher Hackerangriff auf Facebook

Facebook ist im Januar Opfer eines Hackerangriffs geworden, bei dem die Computer von Softwareentwicklern kompromittiert wurden. Das Social Network berichtet von einer „raffinierten Attacke auf unsere Systeme“. Seine Sicherheitsexperten hätten jedoch keine Hinweise darauf gefunden, dass auch Nutzerdaten gefährdet waren.

„Dieser Angriff geschah, als einige Mitarbeiter eine Website für Entwickler mobiler Software besuchten, die kompromittiert war“, führt ein Blogeintrag von Facebook Security aus. „Die kompromittierte Website beherbergte einen Exploit, durch den Malware auf den Notebooks dieser Mitarbeiter installiert wurde. Diese Notebooks waren voll gepatcht und mit aktueller Antivirus-Software geschützt.“

(Bild: Facebook)

Entdeckt wurde der erfolgreiche Angriff durch eine verdächtige Domain in den DNS-Protokollen des Unternehmens, die auf das Notebook eines Mitarbeiters zurückverfolgt werden konnte. Bei der forensischen Untersuchung dieses Rechners konnte eine bösartige Datei ermittelt werden. Eine unternehmensweite Suche nach dieser Datei führte zu weiteren Notebooks, die von der Malware befallen waren.

Eine Analyse der kompromittierten Website, von der der Angriff ausging, führte zur Entdeckung eines Zero-Day-Exploits, mit dem sich die Java-Sandbox umgehen und Malware installieren ließ. Facebook habe daraufhin Oracle informiert, das die bislang unbekannte Sicherheitslücke bestätigte und am 1. Februar einen Patch dafür bereitstellte.

Das Social Network weist darauf hin, dass es nicht allein von dieser Attacke betroffen war: „Es ist klar, dass andere kürzlich ebenfalls angegriffen und infiltriert wurden.“ Anfang Februar hatte bereits Twitter eingeräumt, dass es etwa im gleichen Zeitraum Opfer eines Hackerangriffs wurde, bei dem offenbar die Daten von bis zu 250.000 Nutzern ausgespäht wurden. Auch in diesem Zusammenhang war Java erwähnt, aber nicht ausdrücklich als Einfallstor der Hacker genannt worden.

Weitere Einzelheiten enthüllte Facebooks Chief Security Officer Joe Sullivan gegenüber Ars Technica. Zusammen mit externen Sicherheitsexperten und der „Sinkhole“-Technik sei es gelungen, den Kommandoserver der Angreifer zu übernehmen und den Netzwerk-Traffic zu verfolgen. Dabei seien eingehende Verbindungen von mehreren anderen Firmen bemerkt worden. Das Social Network habe sie und auch US-Ermittlungsbehörden darüber informiert. Laut Facebook hatten einige betroffene Firmen den Angriff ebenfalls bemerkt, andere aber keinerlei Kenntnis davon.

„Die Attacke wurde über den HTML-Code der Site ausgeführt“, sagte Sullivan. „Daher waren zwangsläufig alle Entwickler betroffen, die die Site besuchten und Java im Browser aktiviert hatten – ganz unabhängig davon, wie gut gepatcht ihre Computer waren.“

Eine Analyse habe ergeben, dass die Angreifer in die Produktionsumgebung von Facebook gelangen wollten und auch „begrenzten Einblick“ in ihre Systeme gewannen. Sie hätten von den Notebooks außerdem geschäftliche Daten, E-Mails und Programmcode entwenden können.

Die Angriffsmuster der Attacke sprechen laut Sullivan für eine neue Angriffswelle, die in keinem Zusammenhang mit früheren Angriffen auf Facebook oder andere Organisationen steht. „Das sah mehr wie eine neue Offensive aus, die nicht mit vorhergehenden APT-Aktivitäten zusammenhängt.“ APT (Advanced Persistent Threats) steht vor allem für aufwendige Hackerattacken, die oft von Staaten gefördert werden und auf die Infiltration von Regierungs- und Unternehmensnetzwerken abzielen.

[mit Material von Jennifer Van Grove, News.com]