Facebook ist im Januar Opfer eines Hackerangriffs geworden, bei dem die Computer von Softwareentwicklern kompromittiert wurden. Das Social Network berichtet von einer „raffinierten Attacke auf unsere Systeme“. Seine Sicherheitsexperten hätten jedoch keine Hinweise darauf gefunden, dass auch Nutzerdaten gefährdet waren.

„Dieser Angriff geschah, als einige Mitarbeiter eine Website für Entwickler mobiler Software besuchten, die kompromittiert war“, führt ein Blogeintrag von Facebook Security aus. „Die kompromittierte Website beherbergte einen Exploit, durch den Malware auf den Notebooks dieser Mitarbeiter installiert wurde. Diese Notebooks waren voll gepatcht und mit aktueller Antivirus-Software geschützt.“

(Bild: Facebook)

Entdeckt wurde der erfolgreiche Angriff durch eine verdächtige Domain in den DNS-Protokollen des Unternehmens, die auf das Notebook eines Mitarbeiters zurückverfolgt werden konnte. Bei der forensischen Untersuchung dieses Rechners konnte eine bösartige Datei ermittelt werden. Eine unternehmensweite Suche nach dieser Datei führte zu weiteren Notebooks, die von der Malware befallen waren.

Eine Analyse der kompromittierten Website, von der der Angriff ausging, führte zur Entdeckung eines Zero-Day-Exploits, mit dem sich die Java-Sandbox umgehen und Malware installieren ließ. Facebook habe daraufhin Oracle informiert, das die bislang unbekannte Sicherheitslücke bestätigte und am 1. Februar einen Patch dafür bereitstellte.

Das Social Network weist darauf hin, dass es nicht allein von dieser Attacke betroffen war: „Es ist klar, dass andere kürzlich ebenfalls angegriffen und infiltriert wurden.“ Anfang Februar hatte bereits Twitter eingeräumt, dass es etwa im gleichen Zeitraum Opfer eines Hackerangriffs wurde, bei dem offenbar die Daten von bis zu 250.000 Nutzern ausgespäht wurden. Auch in diesem Zusammenhang war Java erwähnt, aber nicht ausdrücklich als Einfallstor der Hacker genannt worden.

Weitere Einzelheiten enthüllte Facebooks Chief Security Officer Joe Sullivan gegenüber Ars Technica. Zusammen mit externen Sicherheitsexperten und der „Sinkhole“-Technik sei es gelungen, den Kommandoserver der Angreifer zu übernehmen und den Netzwerk-Traffic zu verfolgen. Dabei seien eingehende Verbindungen von mehreren anderen Firmen bemerkt worden. Das Social Network habe sie und auch US-Ermittlungsbehörden darüber informiert. Laut Facebook hatten einige betroffene Firmen den Angriff ebenfalls bemerkt, andere aber keinerlei Kenntnis davon.

„Die Attacke wurde über den HTML-Code der Site ausgeführt“, sagte Sullivan. „Daher waren zwangsläufig alle Entwickler betroffen, die die Site besuchten und Java im Browser aktiviert hatten – ganz unabhängig davon, wie gut gepatcht ihre Computer waren.“

Eine Analyse habe ergeben, dass die Angreifer in die Produktionsumgebung von Facebook gelangen wollten und auch „begrenzten Einblick“ in ihre Systeme gewannen. Sie hätten von den Notebooks außerdem geschäftliche Daten, E-Mails und Programmcode entwenden können.

Die Angriffsmuster der Attacke sprechen laut Sullivan für eine neue Angriffswelle, die in keinem Zusammenhang mit früheren Angriffen auf Facebook oder andere Organisationen steht. „Das sah mehr wie eine neue Offensive aus, die nicht mit vorhergehenden APT-Aktivitäten zusammenhängt.“ APT (Advanced Persistent Threats) steht vor allem für aufwendige Hackerattacken, die oft von Staaten gefördert werden und auf die Infiltration von Regierungs- und Unternehmensnetzwerken abzielen.

[mit Material von Jennifer Van Grove, News.com]

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

9 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

10 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

17 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

1 Tag ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago