Winnti-Hacker haben wohl Schweizer Konzern ausspioniert

Die Hackergruppe Winnti hat nicht nur den Chemie- und Pharmakonzern Bayer gehackt, sondern auch Hunderte andere Firmen zumindest ins Visier genommen. Darunter soll auch der Schweizer Pharmakonzern Roche sein sowie mindestens sechs deutsche DAX-Konzerne. Dies melden der Bayerische Rundfunk 'BR' und der Norddeutsche Rundfunk 'NDR' unter Berufung auf rund 30 Quellen und weiteren Recherchen.
 
Bayer hatte den erfolgreichen Hack schon früher bestätigt, nun wurden Zusatzrecherchen der beiden Medien publiziert.
 
Die von Winnti eingesetzte Schadsoftware soll "in Hunderten von Varianten" existieren, so der Bericht. Um die Varianten und Opfer managen zu können, soll die Hackergruppe die einzelnen Firmennamen im Quellcode aufführen.
Dies erlaube wiederum Securityforschern, die Angegriffenen zu identifizieren.
 
Im Rahmen der Recherchen zeigte sich, dass die Gruppe die Schadsoftware seit mindestens 2011 einsetzt, zu Beginn mit monetären Zielen, aber seit 2014 primär für Industriespionage.
 
Zu den frühesten nun bekanntgewordenen Opfern gehört die Game-Firma Gamesforce, bei welcher Kaspersky Antiviren-Software 2011 einen schädlichen Dateianhang nicht erkannt haben soll.
 
2014 dann ist Henkel erfolgreich attackiert worden. Der Konzern sagt, es sei nur "ein sehr kleiner Teil" der weltweiten IT-Systeme betroffen gewesen, speziell die deutschen. Es gebe jedoch keine Hinweise darauf, dass sensible Daten erbeutet worden seien.
 
Auf der aktuellen Opferliste stehen laut dem Bericht auch weitere deutsche, japanische und französische Konzerne, darunter Siemens (2015) und BASF (2016), zudem TeamViewer (2016). Letztere sagten 'Heise' auf Anfrage, sie hätten das Eindringen mit Winnti "rechtzeitig genug entdeckt, um grössere Schäden zu verhindern."
 
Die Konzerne, die sich äussern wollten, sagten, sie hätten den Hack schnell entdeckt, es seien nur "die ersten Ebenen" der Security überwunden worden und/oder sensible Daten seien keine betroffen.
 
Die Recherchen ergeben, dass auch die IT-Security von Roche überwunden worden sei: "Ganze 25 Dateien geben eine Ahnung davon, an wie vielen Stellen sich die Hacker im Netz festgesetzt haben müssen." Details werden keine genannt, so bleibt offen, wie gravierend die Attacke war.
 
Roche bleibt gegenüber den Journalisten im Bericht bewusst ausweichend. Ein Sprecher des Konzerns antwortet, man nehme "Informationssicherheit und den Datenschutz sehr ernst."
 
Die Hackergruppe und die Malware Winnti ist nicht unbekannt, es handelt sich um eine Gruppe, die seit 2010 aktiv sein soll und mit "Blackfly" identisch sein könnte. Woher die Gruppe kommt und für wen sie arbeitet, ist umstritten. Spuren verweisen nach China, so glauben es unter anderem Kaspersky sowie die Deutsche Cybersicherheitsorganisation (DCSO), welche von Industriekonzernen selbst begründet wurde. Das deutsche BSI spricht von Asien. Die Dritten zweifeln an den Indizien, schliesslich können erfolgreiche Hacker auch erfolgreich ihre Spuren verwischen. (mag)