Hacker haben deutsche Firmen im Visier

Die Unternehmen Thyssen-Krupp und Bayer sind prominente und bereits bekannte Opfer der Hackergruppe „Winnti“. Nun haben der Bayerische Rundfunk und der NDR gemeinsam mit Bochumer Forschern aufgedeckt, wie die Hackergruppe vorgeht.
Wie die Hackergruppe „Winnti“, auch bekannt als APT10, deutsche und internationale Firmen attackiert und wer bereits unter den Opfern ist, haben Forscher der Ruhr-Universität Bochum gemeinsam mit einem Rechercheteam des Bayerischen Rundfunks (BR) und des Norddeutschen Rundfunks (NDR) zutage gefördert.
Winnti operiert vermutlich seit mindestens zehn Jahren aus China heraus und späht Unternehmen weltweit aus. In Deutschland wurden unter anderem Angriffe auf die Firmen Thyssen-Krupp und Bayer bekannt.
Nach Analysen des Teams um Prof. Dr. Thorsten Holz vom Bochumer Horst-Görtz-Institut für IT-Sicherheit sind mindestens ein Dutzend Firmen betroffen, darunter sechs Dax-Konzerne. Besonders im Fokus stehen Unternehmen der chemischen Industrie, darüber hinaus aber auch Hersteller von Computerspielen, Telekommunikationskonzerne, Pharmaindustrie und die Halbleiterbranche.
Der Medienverbund von BR und NDR zog Thorsten Holz und seinen Doktoranden Moritz Contag zu der Recherche hinzu, weil sie Experten für die Analyse von Software, speziell Binärcode sind. Sie wollten genauer wissen, wie die Winnti-Spionage funktioniert. „Es gibt mittlerweile drei Generationen der Winnti-Software“, erklärt Thorsten Holz, einer der Sprecher des Exzellenzclusters Casa (Cyber-Security in the Age of Large-Scale Adversaries). „Die Software ist modular wie ein Baukasten aufgebaut. Daraus kann die Gruppe dann für den jeweiligen Zweck und die Opferfirma die passende Schadsoftware zusammensetzen.“
Der Baukasten enthält etwa ein Modul, das die Software auf einem Server des betroffenen Unternehmens versteckt, ein Modul, das das Sammeln von Informationen im Firmennetzwerk ermöglicht, oder ein Modul, das einen Kommunikationskanal nach draußen aufbaut.
Im Binärcode der Software ist auch eine Konfigurationsdatei enthalten, die entscheidende Optionen zur Steuerung der Schadsoftware enthält. Binärcode kann vom Prozessor direkt ausgeführt werden, ist aber für Menschen kaum verständlich. Die Bochumer IT-Experten übersetzten den Code in lesbare Sprache und zeigten, dass die Dateien beispielsweise die Information enthielten, von welchem Server aus die Schadsoftware gesteuert wurde und wo im Opfersystem die Schadsoftware liegt.
Häufig nutzte die Hackergruppe externe Server zur Kontrolle, teilweise wurde die Schadsoftware aber auch von kompromittierten Servern im Firmennetzwerk gesteuert. „Interessanterweise enthalten die Konfigurationsdateien auch Hinweise, welche Firma oder Organisation konkret angegriffen wurde“, erklärt Thorsten Holz. „Vermutlich hilft das der Gruppe, ihre Angriffe zu organisieren.“
Die Infektion mit der Schadsoftware erfolgt häufig über Phishing-Mails. Klickt ein Nutzer auf einen Link in einer solchen Mail oder öffnet den Anhang, installiert sich die Winnti-Software auf dem System. Die Angreifer nutzen dieses System dann für weitere Angriffe innerhalb des Firmennetzwerks.
Auf einem infizierten Server kann sich die Software unbemerkt verstecken, bis sie ein Signal vom Kontrollserver enthält und aktiviert wird. Dann kommuniziert das Programm über einen verschlüsselten Kanal mit dem Kontrollserver, sendet etwa bestimmte Daten aus dem Firmennetzwerk an die Angreifer.
„Wir haben in der Analyse auch gesehen, dass die Winnti-Software häufig wochen- oder monatelang schläft und nichts tut, dann für einen Tag oder auch mal eine Woche aktiviert wird, bevor sie wieder abgeschaltet wird“, beschreibt Thorsten Holz das typische Verhalten.
Die Winnti-Software hat zum Ziel, Systeme mit dem Windows-Betriebssystem zu infizieren. Inzwischen existiert auch eine Version für Linux, wie im März 2019 bekannt wurde.
Links:
Verwandte Artikel
Politik & Wirtschaft
-
Wechsel an der Spitze der SKF Gruppe
Der Vorstand hat Rickard Gustafson zum neuen Präsidenten und CEO...
Condition Monitoring
-
Neues System überwacht lange Energieketten
Ein vergessener Schraubendreher in einer Energiekette, eine verbogene Rinne, sowie...
Drucklufttechnik
-
Druckluft (kann man) einfach mieten
Ideal als Übergangslösung bei einem Notfall oder bei geplanten Wartungsarbeiten
Arbeitssicherheit
-
Berliner Stadtbezirk stattet Schulen mit Luftreinigern aus
Während deutschlandweit Ausschreibungen für die Anschaffung von mobilen Luftreinigern für...
Reinigung
-
Trockeneisstrahlgerät, das die Pellets selbst erzeugt
Die Trockeneisreinigung erzielt sehr gute Ergebnisse auf empfindlichen Oberflächen, doch...
Energie-Effizienz
-
Berliner JVA Tegel setzt Licht zur Miete
Eine der größten deutschen Justizvollzugsanstalten, die JVA Berlin-Tegel, wird in...
Fertigungstechnik
-
Montagearbeitsplätze mit Cobot-Anbindung
Montagearbeitsplätze von RK Rose+Krieger kombiniert mit Cobots von Mitsubishi Electric
Zulieferteile
-
Eine Dichtung, die auch gleiten kann
Als funktionelle und montagefreundliche Alternative zu Dichtungen aus Gummi decken...
Wartungs- & Werkstattbedarf
-
Neue Akkuwerkzeuge von AEG
AEG Powertools stellt die ersten vier Geräte einer neuen Baureihe...
Messen & Überwachen
-
TecTalk: Energieeffizienz in vernetzten Gebäuden
Mit dem TecTalk möchte Danfoss ein neues Live-Streaming-Format zu aktuellen...
Antriebs- & Steuerungstechnik
-
So gut wie neu, aber deutlich günstiger
Verschleiß ist selbst bei hochwertigen Wälzlager ein Thema. Früher oder...
Facility Management
-
30 Schnelllauftore für ein Logistikzentrum
30 schnelllaufende Tore gewährleisten die Logistik in der Konzernzentrale der...
Materialfluss
-
Herausforderung Impfstoff-Logistik
Spezielle Versandboxen halten sensiblen Impfstoff fünf Tage bei minus 70...
Themen
- Antriebs- & Steuerungstechnik
- Arbeitssicherheit
- Condition Monitoring
- Drucklufttechnik
- Energie-Effizienz
- Facility Management
- Fertigungstechnik
- Industrie-Service
- Management & Technologie
- Materialfluss
- Messen & Events
- Messtechnik & Überwachungstechnik
- Politik & Wirtschaft
- Reinigung
- Wartungs- & Werkstattbedarf
- Zulieferteile