Hacker erbeuten Sourcecode von Stormshield Firewall

5. Februar 2021, 13:53
image

Beim Angriff auf die französische IT-Security-Firma und Airbus-Tochter wurden auch Kundendaten gestohlen. Frankreichs Sicherheitsbehörde reagiert.

Am 3. Februar erklärte das französische IT-Security-Unternehmen Stormfield auf seiner Website, Ziel eines Hackerangriffs geworden zu sein. Stormshield-Teams hätten einen Sicherheitsvorfall entdeckt, "der zu einem unbefugten Zugriff auf ein technisches Portal führte, das insbesondere von unseren Kunden und Partnern für die Verwaltung ihrer Support-Tickets zu unseren Produkten genutzt wird".
Stormshield ist ein hundertprozentiges Tochterunternehmen von Airbus Cybersecurity. Der Anbieter von Sicherheitsdienstleistungen und Netzwerksicherheitsgeräten hat in den letzten Jahren seine Präsenz in der Schweiz verstärkt. So ist Acdalis aus Baar Partner für IT-Sicherheitslösungen und auch Alltron vertreibt Stormshield-Produkte.
Beim Angriff wurde auch Sourcecode erbeutet. "Weitere Untersuchungen im Zusammenhang mit diesem Vorfall haben ergeben, dass Teile des Quellcodes von SNS (Stormshield Network Security) geleakt wurden", schreibt Stormshield. Die SNS-Firewalls sind für den Einsatz in sensiblen französischen Regierungsnetzwerken zertifiziert und werden von Verteidigungsbehörden eingesetzt.

SNS- und SNI-Produkte unter behördlicher Beobachtung

Die französische Cybersicherheitsbehörde Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) hat deshalb auf den Vorfall reagiert. Man prüfe derzeit die Auswirkungen auf Regierungssysteme. In einer eigenen Mitteilung schreibt ANSSI: "Nur die Produkte Stormshield Network Security (SNS) und Stormshield Network Security Industrial (SNI) Firewall scheinen von dieser Exfiltration betroffen zu sein."
In den von Stormshield und der ANSSI durchgeführten Untersuchungen gebe es bis jetzt keine Anhaltspunkte dafür, dass der Quellcode vom Angreifer verändert worden sei. Für die Dauer der Untersuchungen und auch als Vorsichtsmassnahme habe die ANSSI aber beschlossen, die Qualifikationen und Zulassungen von SNS- und SNI-Produkten unter Beobachtung zu stellen. Und die Behörde warnt: "Es ist unerlässlich, dass jeder Kunde eine entsprechende Auswirkungsanalyse durchführt."

Zertifikat ausgetauscht, Passwörter zurückgesetzt

Stormshield schreibt in seiner Mitteilung, als zusätzliche Vorsichtsmassnahme habe man den Austausch des vertrauenswürdigen Zertifikats, das die Integrität der SNS-Releases und -Updates signiere und sicherstelle, vorgezogen. "Den Kunden und Partnern wurden neue Updates zur Verfügung gestellt, damit ihre Produkte mit diesem neuen Zertifikat arbeiten können."
Darüber hinaus erklärte das Securityunternehmen, dass es auch die Passwörter für sein Tech-Support-Portal, in das die Angreifer eingedrungen sind, und das Portal des Stormshield Institute, das für Kundenschulungen genutzt wird, zurückgesetzt habe.
Offenbar haben die Hacker neben dem Sourcecode auch auf persönliche und technische Daten einiger Kunden zugegriffen. Alle Support-Tickets und technischen Änderungen der betroffenen Konten seien überprüft und die Ergebnisse den Kunden mitgeteilt worden. Ein Stormshield-Sprecher sagte weiter, dass etwa 2% der Konten vom Hack betroffen waren, das seien "etwa 200 Konten von mehr als 10'000". Über die Art des Angriffs und mögliche Urheber machte Stormshield bis jetzt keine Angaben.

Loading

Mehr zum Thema

image

Neue Chefin für das BSI

Die Tech-Expertin Claudia Plattner soll die Spitze des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI) übernehmen, nachdem das Amt monatelang unbesetzt war.

publiziert am 7.2.2023
image

Polizei schiesst Kryptomessenger Exclu ab

Die App soll ein grosser Favorit von Kriminellen und Drogenschmugglern gewesen sein. Nun haben die Behörden die Dienste abgeschaltet, auch dank Hinweisen aus dem "Cyberbunker".

publiziert am 7.2.2023
image

EFK: Skyguide muss das Continuity Management verbessern

Im Rahmen des Programms "Virtual Center" kommt es zu grossen Veränderungen im IT-Betrieb von Skyguide. In einer zweiten Prüfung anerkennt die Finanzkontrolle zwar Fortschritte, aber beim IT Continuity Management gibt es noch viel zu tun.

publiziert am 7.2.2023
image

Uni Zürich blockiert ausländische Website-Zugriffe

Aus dem Ausland kann nicht mehr auf die Website und Mailboxen der Universität Zürich zugegriffen werden.

publiziert am 7.2.2023