Winnti-Hacker haben wohl Schweizer Konzern ausspioniert

24. Juli 2019, 12:19
  • security
  • cyberangriff
  • siemens
  • kaspersky
  • china
  • apac
image

Die Hackergruppe Winnti hat nicht nur den Chemie- und Pharmakonzern Bayer gehackt, sondern auch Hunderte andere Firmen zumindest ins Visier genommen.

Die Hackergruppe Winnti hat nicht nur den Chemie- und Pharmakonzern Bayer gehackt, sondern auch Hunderte andere Firmen zumindest ins Visier genommen. Darunter soll auch der Schweizer Pharmakonzern Roche sein sowie mindestens sechs deutsche DAX-Konzerne. Dies melden der Bayerische Rundfunk 'BR' und der Norddeutsche Rundfunk 'NDR' unter Berufung auf rund 30 Quellen und weiteren Recherchen.
Bayer hatte den erfolgreichen Hack schon früher bestätigt, nun wurden Zusatzrecherchen der beiden Medien publiziert.
Die von Winnti eingesetzte Schadsoftware soll "in Hunderten von Varianten" existieren, so der Bericht. Um die Varianten und Opfer managen zu können, soll die Hackergruppe die einzelnen Firmennamen im Quellcode aufführen.
Dies erlaube wiederum Securityforschern, die Angegriffenen zu identifizieren.
Im Rahmen der Recherchen zeigte sich, dass die Gruppe die Schadsoftware seit mindestens 2011 einsetzt, zu Beginn mit monetären Zielen, aber seit 2014 primär für Industriespionage.
Zu den frühesten nun bekanntgewordenen Opfern gehört die Game-Firma Gamesforce, bei welcher Kaspersky Antiviren-Software 2011 einen schädlichen Dateianhang nicht erkannt haben soll.
2014 dann ist Henkel erfolgreich attackiert worden. Der Konzern sagt, es sei nur "ein sehr kleiner Teil" der weltweiten IT-Systeme betroffen gewesen, speziell die deutschen. Es gebe jedoch keine Hinweise darauf, dass sensible Daten erbeutet worden seien.
Auf der aktuellen Opferliste stehen laut dem Bericht auch weitere deutsche, japanische und französische Konzerne, darunter Siemens (2015) und BASF (2016), zudem TeamViewer (2016). Letztere sagten 'Heise' auf Anfrage, sie hätten das Eindringen mit Winnti "rechtzeitig genug entdeckt, um grössere Schäden zu verhindern."
Die Konzerne, die sich äussern wollten, sagten, sie hätten den Hack schnell entdeckt, es seien nur "die ersten Ebenen" der Security überwunden worden und/oder sensible Daten seien keine betroffen.
Die Recherchen ergeben, dass auch die IT-Security von Roche überwunden worden sei: "Ganze 25 Dateien geben eine Ahnung davon, an wie vielen Stellen sich die Hacker im Netz festgesetzt haben müssen." Details werden keine genannt, so bleibt offen, wie gravierend die Attacke war.
Roche bleibt gegenüber den Journalisten im Bericht bewusst ausweichend. Ein Sprecher des Konzerns antwortet, man nehme "Informationssicherheit und den Datenschutz sehr ernst."
Die Hackergruppe und die Malware Winnti ist nicht unbekannt, es handelt sich um eine Gruppe, die seit 2010 aktiv sein soll und mit "Blackfly" identisch sein könnte. Woher die Gruppe kommt und für wen sie arbeitet, ist umstritten. Spuren verweisen nach China, so glauben es unter anderem Kaspersky sowie die Deutsche Cybersicherheitsorganisation (DCSO), welche von Industriekonzernen selbst begründet wurde. Das deutsche BSI spricht von Asien. Die Dritten zweifeln an den Indizien, schliesslich können erfolgreiche Hacker auch erfolgreich ihre Spuren verwischen. (mag)

Loading

Mehr zum Thema

image

Ransomware-Gruppen im Darknet

Die schrittweise Veröffentlichung von gestohlenen Datensätzen im Darknet gehört zum Standardrepertoire jeder grösseren Ransomware-Gruppe. Kommt das Opfer den Forderungen der Cyberkriminellen nicht fristgerecht nach, werden dessen Informationen dort zugänglich veröffentlicht.

image

Online-Ads: Nutzer-Daten werden Milliarden Mal pro Tag verarbeitet

Eigentlich weiss man es: Beim Besuch einer Website werden eine Menge Informationen verfolgt und geteilt. Ein Bericht verdeutlicht nun, wie häufig dies geschieht und stellt die Frage: Ist das legal?

publiziert am 20.5.2022
image

Hacker nehmen VMware- und F5-Sicherheitslücken aufs Korn

Die US-Cyberbehörde CISA warnt, dass die kürzlich bekannt gewordenen Lücken aktiv angegriffen werden, vermutlich von staatlich unterstützten Gruppierungen.

publiziert am 19.5.2022
image

Ransomware-Report: Vom Helpdesk bis zur PR-Abteilung der Cyberkriminellen

Im 1. Teil unserer Artikelserie zeigen wir, wann der Ransomware-Trend entstand und wie die Banden organisiert sind. Die grossen Gruppen haben auch die kleine Schweiz verstärkt im Visier.

Von publiziert am 18.5.2022