FireEye dementiert Hackerangriff auf seine Tochter Mandiant

Der Sicherheitsanbieter FireEye hat einen Zwischenbericht seiner Untersuchungen zu einem Angriff auf Systeme seiner Tochter Mandiant veröffentlicht. Demnach ist es dem Angreifer trotz mehrerer Versuche bisher nicht gelungen, in das Unternehmensnetzwerk einzudringen. Auch persönliche oder firmeneigene Computer, Laptops oder Geräte des fraglichen Mitarbeiters seien nicht kompromittiert worden. Tatsächlich habe der Angreifer lediglich öffentlich verfügbare Anmeldedaten aus verschiedenen Hackerangriffen benutzt, um auf Social-Media-Konten eines Mandiant-Mitarbeiters zuzugreifen.

In der vergangenen Woche hatte eine Gruppe namens 31337 Hackers behauptet, sie habe den Rechner eines Sicherheitsanalysten von Mandiant geknackt. Zum Beweis legten die Hacker verschiedene Daten vor, darunter Screenshots, die seinen Desktop zeigen sollen, sowie Auszüge aus den Hotmail-, OneDrive- und LinkedIn-Konten des Mitarbeiters. Einige der Dateien ließen sogar Rückschlüsse auf die Arbeit des Analysten zu.

FireEye zufolge stammen die von den Angreifern benutzten Passwörter unter anderem aus der im Mai veröffentlichten Datenbank mit 117 Millionen Zugangsdaten von LinkedIn-Nutzern. Die veröffentlichten Firmendokumente seien nicht vom Rechner des Analysten entwendet worden, sondern aus seinen persönlichen Online-Konten. Alle anderen gezeigten Dokumente seien zuvor bereits öffentlich verfügbar gewesen oder von den Angreifern angefertigte Screenshots. Einige dieser Screenshots seien zudem bewusst irreführend, da sie fälschlicherweise einen erfolgreichen Einbruch ins FireEye-Netzwerk nahelegten. Es seien aber nur gescheiterte Anmeldeversuche der Angreifer aufgezeichnet worden.

Der Mandiant-Analyst arbeite zudem nur für wenige Kunden, beschwichtigt das Unternehmen. Davon seien zwei in den durchgesickerten Unterlagen namentlich genannt. „Wir glauben, dass sie die einzigen Kunden sind, die von diesem Vorfall betroffen sind“, ergänzt FireEye.

Im Rahmen der Ermittlungen sicherte FireEye nach eigenen Angaben nicht nur alle forensischen Daten des Computers des Mitarbeiters, sondern auch Log-Dateien der Drittanbieter, sprich OneDrive, Hotmail und LinkedIn. Zudem seien alle Mitarbeiter des Unternehmens über die Möglichkeiten informiert worden, ihre privaten Online-Konten beispielsweise per Zwei-Faktor-Authentifizierung zu sichern.

Die Hacker waren vor allem darauf aus, dem Ruf von FireEye und Mandiant zu schaden. Mandiant ist auf die Untersuchung von Cyberangriffen sowie die Ermittlung der Täter spezialisiert. „Lasst uns ihren Ruf zerstören“, teilte die Gruppe 31337 Hackers in der vergangenen Woche mit.

Selbst wenn es den Angreifern nicht gelungen ist, die Systeme von FireEye zu kompromittieren, bleibt doch die Frage offen, warum Mitarbeiter eines Sicherheitsanbieters nicht die Tipps befolgen, die sie wahrscheinlich ihren Kunden geben. Denn offenbar hatte es der Analyst versäumt, nach Bekanntwerden des Angriffs auf LinkedIn zu prüfen, ob er betroffen ist, beziehungsweise vorsichtshalber pauschal seine Passwörter zu ändern. Die Schilderung von FireEye legt zudem die Vermutung nahe, dass der Analyst nicht für jedes Online-Konto ein eigenes Passwort benutzte, denn zumindest Microsoft-Konten waren bisher nicht direkt von einem Hackerangriff betroffen.

Hackerangriff vermehrt Probleme von Fireeye an der Börse womöglich

FireEye war im April 2012 eine „strategische Allianz“ mit Mandiant eingegangen, hatte dann mit ihm gemeinsame Angebote entwickelt und es im Dezember 2013 für knapp eine Milliarde Dollar übernommen. Der Angriff und die Vorwürfe der Hacker kommen für Fireeye auch deshalb ungelegen, weil die Aktie ohenhin unter starkem Druck steht. Beim IPO 2014 nahme Fireeye bei einem Ausgabepreis von 20 Dollar rund 303 Millionen Dollar ein. Am Ende des ersten Handelstags notierte das Papier bei 36 Dollar.

Nachdem der Kurs in kurzer Zeit zunächst auf deutlich über 70 Dollar kletterte, ging es rapide abwärts. Nach einem Tief bei unter 12 Dollar im Februar pendelt der Wert des Papiers seit Mai zwischen 15 und 16 Dollar. Aufgrund der Anfang August vorgelegten guten Zahlen zog er etwas an, möglicherweise auch aufgrund der Berichte über den Hackerangriff wurde der Zugewinn aber bereits längst wieder zunichte gemacht. Ob das eine der Absichten der Hacker war, ist nicht bekannt.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.