Hackerangriffe: Sechs DAX-Unternehmen mit Winnti attackiert

In den vergangenen Jahren wurden mehrere Industriegrößen wie Siemens, BASF und Henkel von der Hackergruppe Winnti attackiert. Sicherheitsforscher konnten die Angriffe aus Schadsoftware-Samples von Winnti herauslesen.

Artikel veröffentlicht am ,
Auch Siemens wurde von Winnti angegriffen.
Auch Siemens wurde von Winnti angegriffen. (Bild: Johannes Simon/Getty Images)

Deutsche Unternehmen sollen nach einer Recherche von NDR und BR im großen Stil von der Hackergruppe Winnti angegriffen worden sein. Unter ihnen befinden sich der Technologiekonzern Siemens, die Chemie-Konzerne BASF und Covestro sowie der Waschmittel- und Klebstoffhersteller Henkel. Die Hackergruppe wird als Advanced Persistant Threat (APT) eingestuft und spioniert wahrscheinlich im Auftrag Chinas Industriegeheimnisse aus. Insgesamt sollen acht Unternehmen aus Deutschland betroffen sein, darunter sechs DAX-Unternehmen. Dabei soll die Hackergruppe Winnti etliche Spuren in der gleichnamigen Schadsoftware hinterlassen haben.

Stellenmarkt
  1. Mitarbeiterin (m/w/d) Archivwesen
    Paul-Ehrlich-Institut, Langen
  2. Ingenieur SAP-Fachbetreuung (w/m/d)
    Netze BW GmbH, Stuttgart
Detailsuche

Siemens bestätigte den Winnti-Angriff auf Nachfrage von Golem.de. Anfang Juni 2016 sei das Unternehmen Ziel des Winnti-Angriffs geworden, der "zügig erkannt und bewältigt" worden sei. "Wir haben nach ausführlichen Analysen bis heute keine Hinweise darauf, dass bei diesem Angriff Daten abgeflossen sind. Die angegriffenen Systeme enthielten keine Kundendaten", erklärt der Siemens-Sprecher Felix Sparkuhle. Rund 1.000 Hackerangriffe verzeichne das Unternehmen pro Monat.

Auch bei BASF, Covestro und Henkel konnten die Angreifer laut dem Bericht abgewehrt werden. Hier sollen immerhin keine sensiblen Daten abgeflossen sein. Die BASF wurde im Juli 2015 angegriffen. Winnti habe "die ersten Ebenen" der Verteidigung überwinden können, sei dann aber koordiniert aus dem Firmennetzwerk entfernt worden, sagte ein BASF-Sprecher dem BR.

Mit Virustotal auf Spurensuche

Wird eine Datei verdächtigt, eine Schadsoftware zu enthalten, kann sie auf Virustotal.com mit rund 50 Antiviren-Programmen untersucht werden. Im Gegenzug speichert der Dienst die Datei für die weitere Analyse. Der Sicherheitsforscher Moritz Contag von der Ruhr-Universität Bochum untersuchte rund 250 solcher Samples der Schadsoftware Winnti.

Golem Akademie
  1. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    13.–17. Dezember 2021, virtuell
  2. Webentwicklung mit React and Typescript: virtueller Fünf-Halbtage-Workshop
    6.–10. Dezember 2021, Virtuell
Weitere IT-Trainings

Die Hackergruppe Winnti geht erstaunlich fahrlässig mit Informationen im Schadcode um: Innerhalb des Schadcodes konnte Contag die Namen der DAX-Konzerne ausfindig machen, die später entsprechende Angriffe bestätigten. Die Hackergruppe greife viele Ziele gleichzeitig an und müsse irgendwie den Überblick behalten, vermutet Contag.

Neben den DAX-Unternehmen legen die Spuren auch Attacken auf den US-Softwarehersteller Valve, der für die Spieleplattform Steam bekannt ist, sowie die japanischen Konzerne Shin-Etsu Chemical und Sumitomo nahe. Diese hätten sich jedoch nicht zu den Vorfällen geäußert, schreibt der BR.

Spuren nach China

Einige der betroffenen Firmen haben 2016 die Deutsche Cyber-Sicherheitsorganisation (DCSO) gegründet, die Winnti beobachtet und bei der Aufklärung und Abwehr entsprechender Angriffe unterstützt. "Alle Indizien sprechen dafür, dass Winnti aus China stammt", sagte Andreas Rohr, CTO der DCSO. Mit absoluter Sicherheit könne man die Hackergruppe - wie im APT-Bereich üblich - nicht zuordnen. Auch das BSI, die Kaspersky Labs und eine Analyse der Sicherheitsfirma 401TRG gehen davon aus, dass die Angreifer aus China kommen.

Bayer, Teamviewer und Thyssenkrupp

Nach einem Spiegel-Bericht (Paywall) wurde auch die Firma Teamviewer angegriffen. Die gleichnamige Software wird zur Fernwartung eingesetzt und kann rund zwei Milliarden Installationen vorweisen. Winnti hätte die Software als Sprungbrett für vielfältige weitere Angriffe verwenden können. Doch auch bei Teamviewer wurde der Angriff entdeckt und abgewehrt.

Im April wurde ein Angriff von Winnti auf den Pharma-Riesen Bayer bekannt, der im vorigen Jahr stattgefunden hat. Dieselbe Gruppe wird auch für einen Spionageangriff auf den Industriekonzern Thyssenkrupp sowie für Hacks mehrerer Gaming- und Software-Firmen verantwortlich gemacht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Pornhub, Youporn, Mydirtyhobby
Gericht bestätigt Zugangsverbot für Pornoportale

Die Landesmedienanstalt NRW hat zu Recht gegen drei Pornoportale mit Sitz in Zypern ein Zugangsverbot verhängt.

Pornhub, Youporn, Mydirtyhobby: Gericht bestätigt Zugangsverbot für Pornoportale
Artikel
  1. Zip: Ratenzahlung in Microsoft Edge empört die Community
    Zip
    Ratenzahlung in Microsoft Edge empört die Community

    Die App Zip wird seit Microsoft Edge 96 standardmäßig aktiviert. Diese bietet Ratenzahlung an, schürt aber nur Hass in der Community.

  2. Kompakter Einstieg in die Netzwerktechnik
     
    Kompakter Einstieg in die Netzwerktechnik

    Die Golem Akademie bietet Admins und IT-Sicherheitsbeauftragten in einem Fünf-Tage-Workshop einen umfassenden Überblick über Netzwerktechnologien und -konzepte.
    Sponsored Post von Golem Akademie

  3. Razer Zephyr im Test: Gesichtsmaske mit Stil bringt nicht viel
    Razer Zephyr im Test
    Gesichtsmaske mit Stil bringt nicht viel

    Einmal Cyberpunk mit Beleuchtung bitte: Tragen wir Razers Zephyr in der U-Bahn, fallen wir auf. Allerdings ist das Produkt nicht ausgereift.
    Ein Test von Oliver Nickel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Last Minute Angebote bei Amazon • Crucial-RAM zu Bestpreisen (u. a. 16GB Kit DDR4-3600 73,99€) • HP 27" FHD 165Hz 199,90€ • Razer Iskur X Gaming-Stuhl 239,99€ • Adventskalender bei MM/Saturn (u. a. Surface Pro 7+ 849€) • Alternate (u. a. Adata 1TB PCIe-4.0-SSD für 129,90€) [Werbung]
    •  /