Facebook slachtoffer van Java-aanval

Facebook heeft laten weten dat recentelijk ontdekt is dat de laptops van verschillende ontwikkelaars zijn aangevallen in een Java-aanval waardoor nog onbekende malware is geïnstalleerd. Bij de aanval zouden geen persoonlijke gegevens buit zijn gemaakt.

De aanval is beperkt gebleven tot de laptops van een klein aantal Facebook-ontwikkelaars. Facebook is aan een onderzoek begonnen samen met een derde partij om de server van de aanvallers te achterhalen. Het sociale netwerk heeft in dat onderzoek al netwerkverkeer van ook andere bedrijven ontdekt. Deze bedrijven zijn op de hoogte gesteld van de aanval. Sommige wisten al dat zij slachtoffer waren, andere niet.

De aanval is ontdekt toen een verdacht domein gevonden werd in de DNS-logbestanden van Facebook. Volgens Facebooks chief security officer Joe Sullivan werden deze aanvragen herleid naar de laptop van een medewerker die werkt aan mobiele applicaties. Analyse van de bestanden op die computer leidde naar de ontdekking van andere aangevallen computers.

Het patroon van de aanval lijkt niet in verband te staan met eerder aanvallen op Facebook of andere bedrijven. Echter, het is wel opvallend dat de aanval zo snel volgt na de hack van Twitter waarbij versleutelde wachtwoorden zijn buitgemaakt. Hoewel Twitter nooit informatie heeft vrijgegeven over de aanval, wees Twitter wel op het gebruik van Java in de hack.

De aanval op Facebook vond plaats doordat code was geïnjecteerd in de HTML van een populair ontwikkelaarsforum. Een engineer die de pagina bezocht en Java ingeschakeld had in zijn browser, werd geïnfecteerd, ongeacht of zijn machine gepatcht was of niet. De malware die vervolgens werd gedownload, was zowel geschikt voor OS X als Windows.

Antivirussoftware was niet in staat de malware te herkennen, omdat deze nieuw en onbekend was.

Uit analyse van de aanval bleek dat de hackers probeerden dieper in de productieomgeving van Facebook te komen. Het lukte ze om wat beperkte zichtbaarheid te krijgen in deze omgeving, maar na forensisch onderzoek blijkt dat er geen gegevens van Facebook-gebruikers zijn gedownload. Wel is data van de laptop zelf in handen van de hackers gevallen, zoals bedrijfsgegevens, e-mailadressen en broncode van software.

Facebook houdt regelmatig beveiligingsoefeningen waarmee het zo snel mogelijk aanvallen wil detecteren en erop reageren. "Het feit dat we deze oefeningen hebben en dat het personeel getraind is om om te gaan met deze situaties betekent dat we het probleem zeer snel hebben kunnen oplossen", zo vertelt Sullivan.