Anonymous kompromittiert amerikanische Sicherheitsfirma

HBGary wollte dem FBI helfen, gegen Anonymous vorzugehen. Statt dessen wurden ihre Systeme gehackt und über 50.000 interne E-Mails veröffentlicht. Demnach arbeitete HBGary an einem Super-Rootkit und schlug vor, Druck auf Journalisten auszuüben.

In Pocket speichern vorlesen Druckansicht 421 Kommentare lesen
Lesezeit: 4 Min.

Eigentlich wollte die Security-Firma HBGary dem FBI helfen, gegen Anonymous vorzugehen. Stattdessen wurden einige ihrer Systeme gehackt und unter anderem über 50.000 interne E-Mails veröffentlicht. Langsam zeichnet sich ein komplettes Desaster für das Unternehmen ab.

Bekannt geworden ist HBGary, deren Web-Auftritt derzeit offline ist, unter anderem durch ihren ehemaligen Technikchef James Butler, der für seine sehr frühen Arbeiten zu Windows Rootkits verdientermaßen Lorbeeren erntete. Mittlerweile ist das zentrale Produkt der Firma der HBGary Responder, mit dem sich der Arbeitsspeicher von Windows-Systemen untersuchen lässt. Es kommt oft bei Strafverfolgungsbehörden als Forensik-Tool zum Einsatz, lässt sich aber auch zur Schädlingserkennung einsetzen.

Darüber hinaus werden nun langsam Details über andere Geschäftsfelder der Firma bekannt. So diente sich Aaron Barr, Chef der Tocherfirma HBGary Federal, dem FBI an, Licht ins Dunkel von Anonymous zu bringen – der Bewegung, die durch Operation Payback angeblich Wikileaks unterstützten wollte. Dazu sammelte Barr vor allem Informationen über IRC-, Facebook- und Twitter-Accounts von angeblichen Aktivisten. Bevor Barr seine Ergebnisse an die US-Behörden verkaufen konnte, kam es jedoch ganz anders: Unbekannte brachen in mehrere Systeme ein und veröffentlichten nicht nur dieses Dossier, sondern auch HBGarys E-Mail-Archive und weitere Informationen.

Zusammen mit den Firmen Palantir und Berico erstellte HBGary Federal etwa auch eine Analyse der "Bedrohung Wikileaks" mit Handlungsempfehlungen. Dort heißt es unter Bezug auf den Journalisten Glenn Greenwald, der sehr intensiv und enthusiastisch über Wikileaks berichtete: "Diese Form der Unterstützung muss zum Erliegen gebracht werden". Wie sich das bewerkstelligen ließe, erklärte man ebenfalls: Profis wie Greenwald hätten zwar oft eine liberale Tendenz. Vor die Wahl zwischen beruflicher Karriere und ihr Anliegen gestellt, würden sie sich aber letztlich meist für die Karriere entscheiden.

Die gestohlenen E-Mails enthalten darüber hinaus noch einigen Sprengstoff. So dokumentieren die veröffentlichten Kopien etwa, dass der Mitgründer und renommierte Rootkit-Experte Greg Hoglund der Firma Farallon Research ein von HBGary konzipiertes, vollkommen neuartiges Super-Rootkit mit dem Code-Namen Magenta anbot. Farallon will nach eigenem Bekunden "Firmen mit fortschrittlicher Technologie mit den Anforderungen von US-Regierungsbehörden" zusammen bringen. Für den Rüstungskonzern General Dynamics entwickelt HBGary unter Code-Namen wie Project C, Task Z, Task M Trojaner, Rootkits und andere Spionageprogramme im Wert von vielen 100.000 Dollar.

Neben dem Mail-Server und dem Web-Auftritt der Firma wurde im Übrigen auch die Security-Site Rootkit.com kompromittiert, die Hoglund nebenbei betrieb. Unter anderem wurden die Zugangspasswörter des Diskussionsforums geknackt und veröffentlicht. Unter den registrierten Nutzern des Security-Forums finden sich viele prominente Namen. Viele der Forenteilnehmer haben offensichtlich bewusst einfache "Wegwerfpasswörter" verwendet. Das kann allerdings trotzdem unangenehm werden, wenn man das dann auch auf anderen Sites verwendet hat. So wurden anscheinend schon bei einer ersten, automatisierten Auswertung 225 Passwörter gefunden, mit denen auch ein Zugang zu Twitter möglich sein soll.

Ein interessantes Detail am Rande ist die Art und Weise, wie sich die Einbrecher Zugang zu der Site verschafft haben. Offenbar gelang es ihnen mit fingierten E-Mails, einen der Administratoren zu überreden, "mal eben schnell" einen SSH-Zugang von außen zu gestatten. Wie die Angreifer bereits zuvor an das Root-Passwort gekommen waren, ist bislang unbekannt. Angesichts der Praxis von HBGary, selbst sensible Daten einfach unverschlüsselt per Klartext-Mail zu verschicken, ist es aber nicht wirklich verwunderlich, dass Passwörter in fremde Hände geraten. (ju)