Moritz Contag und Thorsten Holz
Moritz Contag (links) und Thorsten Holz vom Horst-Görtz-Institut für IT-Sicherheit sind Experten für die Analyse von Binärcode. © Mareen Meyer

Wirtschaftsspionage Hackergruppe „Winnti“ hat mehrere deutsche Firmen im Visier

Die Unternehmen Thyssen-Krupp und Bayer sind prominente und bereits bekannte Opfer. Nun haben der Bayerische Rundfunk und der NDR gemeinsam mit Bochumer Forschern aufgedeckt, wie die Hackergruppe „Winnti“ vorgeht.

Wie die Hackergruppe „Winnti“* deutsche und internationale Firmen attackiert und wer bereits unter den Opfern ist, haben Forscher der RUB gemeinsam mit einem Rechercheteam des Bayerischen Rundfunks (BR) und des Norddeutschen Rundfunks (NDR) zutage gefördert. Winnti operiert vermutlich seit mindestens zehn Jahren aus China heraus und späht Unternehmen weltweit aus.

Nach Analysen des Teams um Prof. Dr. Thorsten Holz vom Horst-Görtz-Institut für IT-Sicherheit sind mindestens ein Dutzend Firmen von der Winnti-Software betroffen, darunter sechs Dax-Konzerne. Besonders im Fokus stehen Unternehmen der chemischen Industrie, darüber hinaus aber auch Hersteller von Computerspielen, Telekommunikationskonzerne, Pharmaindustrie und die Halbleiterbranche. Die Medien berichteten am 24. Juli 2019 über die Ergebnisse der Recherche.

Schadsoftware aus dem Baukasten

Der Medienverbund von BR und NDR zog Thorsten Holz und Doktorand Moritz Contag zu der Recherche hinzu, weil sie Experten für die Analyse von Software, speziell Binärcode sind. Im Binärcode der Software ist auch eine Konfigurationsdatei enthalten, die entscheidende Optionen zur Steuerung der Schadsoftware enthält. Die Bochumer IT-Forscher übersetzten ihren Code in lesbare Sprache und zeigten, dass er beispielsweise die Information enthielt, von welchem Server aus die Schadsoftware gesteuert wurde und wo im Opfersystem die Schadsoftware liegt.

Binärcode
Binärcode, hier im linken Fenster sichtbar, ist für Menschen nicht direkt lesbar. Teil der Arbeit der Bochumer Forscher ist es, den Code in verständliche Sprache zu übersetzen (rechts). © RUB, Kramer

„Interessanterweise enthalten die Konfigurationsdateien auch Hinweise, welche Firma oder Organisation konkret angegriffen wurde, erklärt Holz, der einer der Sprecher des Exzellenzclusters Casa ist. „Vermutlich hilft das der Gruppe, ihre Angriffe zu organisieren.“

So werden Netzwerke infiziert

Die Infektion mit der Schadsoftware erfolgt häufig über Phishing-Mails. Klickt ein Nutzer auf einen Link in einer solchen Mail oder öffnet den Anhang, installiert sich die Winnti-Software auf dem System. Die Angreifer nutzen dieses System dann für weitere Angriffe innerhalb des Firmennetzwerks. Auf einem infizierten Server kann sich die Software unbemerkt verstecken, bis sie ein Signal vom Kontrollserver enthält und aktiviert wird. Dann kommuniziert das Programm über einen verschlüsselten Kanal mit dem Kontrollserver, sendet etwa bestimmte Daten aus dem Firmennetzwerk an die Angreifer. Die Analyse zeigte, dass die Winnti-Software häufig wochen- oder monatelang schläft und nichts tut, dann für einen Tag oder eine Woche aktiviert wird, bevor sie wieder abgeschaltet wird.

Die Reporter kontaktierten insgesamt 14 Firmen, um sie auf die mögliche Infektion mit der Schadsoftware hinzuweisen. Einige der betroffenen Unternehmen räumten einen entsprechenden Angriff ein, teilweise laufen die Analysen noch.

Unter den Betroffenen sind aber nicht nur Unternehmen; Winnti spionierte beispielsweise auch die Regierung Hongkongs aus. Die Medien vermuten daher, dass die Gruppe nicht nur Wirtschatfsspionage, sondern außerdem politische Spionage betreibt.

* In einer früheren Version des Textes stand, dass die Hackergruppe Winnti auch unter dem Namen APT10 bekannt sei. Diese Angabe wurde korrigiert. Es handelt sich um unterschiedliche Gruppen.

Angeklickt

Veröffentlicht

Mittwoch
24. Juli 2019
07:54 Uhr

Von

Julia Weiler

Teilen