Nieuwsgeavanceerde aanval

Internetbeveiliger FireEye zelf slachtoffer van (vermoedelijk Russisch) hack met supergereedschap

Het Amerikaanse FireEye beveiligt overheden en grote bedrijven tegen cyberaanvallen van buitenaf. Dinsdag blijkt het bedrijf zelf slachtoffer van een zeer geavanceerde aanval. Hierbij is aanvalsgereedschap buitgemaakt.

Het FireEye-kantoor in Califinorië. Beeld AP
Het FireEye-kantoor in Califinorië.Beeld AP

Het is alsof een vijandige mogendheid op zijn gemakje een legerkazerne binnenwandelt, daar in een tank klimt om er vervolgens op zijn gemak mee naar buiten te rijden. FireEye bracht het pijnlijke nieuws dinsdag zelf naar buiten. In een blogpost gaat topman Kevin Mandia met de billen bloot: bij een hack werden interne gegevens buitgemaakt, waaronder methodes die FireEye gebruikt om de beveiliging van klanten te testen.

Het in Californië gevestigde cybersecuritybedrijf is niet de eerste de beste. Het staat bekend om zijn research naar hackgroepen. Zo was het bedrijf de eerste die de link legde tussen de cyberaanvallen die een belangrijk deel van het elektriciteitsnetwerk in 2015 in Oekraïne platlegden en een Russische hackersgroep genaamd Sandworm. Later onthulde FireEye dat de aan de Russische inlichtingendienst gelieerde hackgroep Unit 74455 achter het destructieve NotPetyavirus zat.

FireEye geniet een enorm goede reputatie, weet Dave Maasland, directeur van ­cyberbeveiligingsbedrijf Eset Nederland: ‘Als je als Amerikaanse overheidsinstelling of groot bedrijf een serieus beveiligingsprobleem hebt, bel je Microsoft, FireEye of de FBI.’ Dat de topbeveiliger nu zelf slachtoffer is geworden, is pijnlijk, maar goed te verklaren, zegt Maasland. Allereerst natuurlijk omdat securitybedrijven constant in de vuurlinie liggen. Maar ook omdat juist een bedrijf als FireEye snel ontdekt dat er iets mis is. Andere slachtoffers hebben vaak helemaal niet door dat er is ingebroken.

Verdedigingslinies

Topman Mandia spreekt over een ‘zeer geavanceerde operatie’, die vermoedelijk is uitgevoerd door de regering van een land. FireEye noemt geen specifieke landen, maar volgens The Washington Post zit de aan de Russische buitenlandse inlichtingendienst SVR gelieerde hackgroep Cozy achter de hack.

FireEye zegt dat de indringers geheel nieuwe methodes hebben gebruikt om zich toegang te verschaffen. Dat moeten dus wel zogenoemde zero days zijn, zegt Maasland. Zero days zijn lekken die nog niet bekend zijn bij de softwarefabrikanten. Criminelen hebben er veel geld voor over, omdat hiervoor nog geen verdedigingslinies zijn gemaakt.

De aanvallers hebben in ieder geval ook aanvalsgereedschap van FireEye buitgemaakt. Het zogeheten Red Team is de offensieve eenheid van het bedrijf, dat zelf klanten van FireEye aanvalt, uiteraard met hun medeweten. Ze doen dat om zwakke plekken in de beveiliging aan het licht te brengen. Dat gereedschap is dus meegenomen. Daarnaast leken de hackers ook geïnteresseerd in de gegevens van overheidsinstanties die klant zijn bij FireEye, aldus Mandia.

Supergereedschap

Ondertussen blijft het gissen naar de exacte motieven van, vermoedelijk, de Russen. Ze zijn binnengekomen met supergereedschap, maar de buit bestaat niet uit zero days. ‘De impact valt dus mee’, vermoedt Maasland. De inbraak is daarmee niet te vergelijken met de beruchte gereedschapskist van de NSA. Deze bestond wél uit gloednieuwe lekken in diverse softwarepakketten. De mysterieuze groep Shadow Brokers publiceerde de NSA-goudmijn in 2017, met als gevolg een cascade aan cyber-ellende en nieuwe virussen. Waaronder de beruchte Wannacry ransomware, die wereldwijd voor problemen zorgde.

Mocht de buit van FireEye de komende tijd ook openbaar worden gemaakt, dan kan dat nog steeds heel vervelend zijn, waarschuwt Maasland. ‘De informatie wordt dan laagdrempelig beschikbaar, ook voor zolderkamerhackers. Terwijl we weten dat lang niet alle bedrijven hun software-updates op orde hebben.’ De reden om de buit te publiceren? Dat is gissen. Misschien willen de Russen daarmee hun spierballen laten zien aan de Amerikanen: kijk eens wat wij kunnen. Of, andere mogelijkheid: het creëren van chaos.

Het is niet duidelijk wanneer de hack bij FireEye precies heeft plaatsgevonden. Het bedrijf doet samen met de FBI nader onderzoek.

Hackers AIVD leverden cruciaal bewijs over Russische inmenging in Amerikaanse verkiezingen

Waarom iedereen aast op verse lekken op internet, zero days

Russische hackers van Cozy Bear proberen covid-19-vaccin te stelen

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden