Facebook is de afgelopen maanden drie keer gehackt geweest, waarbij het één keer ongepland was, aldus Chad Greene, manager van het Facebook Computer Emergency Response Team (CERT). De sociale netwerksite wilde testen hoe het personeel in het geval van een ernstig beveiligingsincident zou reageren. De eerste gesimuleerde aanval vond plaats met een kwaadaardige laptop.

Die was achter een archiefkast verstopt en beschikte over volledige WiMAX mogelijkheden, waarmee de machine toegang tot het bedrijfsnetwerk had. Toen het security team de laptop ontdekte had het al gauw door dat het niet om een bedrijfslaptop ging. Vanwege de ernst van het incident werd er naar 'response mode' overgeschakeld.

De laptop bleek met een command & control-server te communiceren. Verder onderzoek wees uit dat de aanvallers toegang tot de beheerdersaccounts van het netwerk hadden en dat een aantal machines van werknemers waren gehackt, waaronder die van Greene.

Wraakactie
De aanvallers hadden het volledige netwerk in handen en stuurden een e-mail waaruit bleek dat ze ook toegang tot de broncode hadden. Het zou gaan om een wraakactie tegen Facebook, dat eerder in 2012 gegevens van verschillende makers van de Koobface worm had gepubliceerd.

De aanvallers wilden dat Facebook excuses zou maken. In werkelijkheid ging het niet om boze Russische hackers, maar om een geplande 'red team' actie om de respons op een incident te testen.

Zero-day
Na de eerste actie in april 2012 volgde eind oktober een tweede gesimuleerde aanval. Dit keer werd er een gerichte e-mail naar een werknemer gestuurd, die instructies had gekregen om de link in de e-mail te openen. De link wees naar een website die een echt zero-day-lek gebruikte waarvoor op dat moment nog geen patch beschikbaar was.

Om welke software het ging wilde Greene niet laten weten. Ook liet hij zich niet uit hoe Facebook in het bezit kwam van de kwetsbaarheid. Wel zou de sociale netwerksite de leverancier in kwestie na de oefening op het eigen personeel hebben geïnformeerd over het onbekende beveiligingslek.

Ontwikkelaar
Via de exploit wisten de aanvallers toegang tot het systeem van een ontwikkelaar te krijgen en voerden wijzigingen aan de PHP-code door, en wisten die vervolgens live te zetten. Dat zou in het geval van een echte aanval een miljard gebruikers hebben getroffen. "Maar de backdoor was ontworpen om niet te draaien", aldus Greene tijdens de CanSecWest beveiligingsconferentie.

Deze gesimuleerde aanval op Facebook lijkt erg op een echte aanval die Facebook in februari opbiechtte. Toen liet het bedrijf weten dat verschillende ontwikkelaars via een zero-day-lek in Java met malware besmet waren geraakt. Bij deze aanval zou echter geen backdoor aan Facebook zijn toegevoegd.