Winnti: Wenn eine APT protestierende Studenten angreift

Die Hackergruppe Winnti wird als Advanced Persistant Threat (APT) eingestuft und spioniert wahrscheinlich im Auftrag Chinas Industriegeheimnisse aus. Spektakuläre Winnti-Fälle betrafen daher vor allem große Konzerne wie Bayer, Siemens oder BASF. Doch neben Wirtschaftsspionage scheint die APT ein neues Ziel zu haben: Protestierende Studenten in Hong Kong. Die Sicherheitsfirma Eset entdeckte bei fünf Universitäten in Hong Kong Schadsoftware, die der Winnti-Gruppe zugeordnet wird. Zuerst hatte das Onlinemagazin The Register berichtet.

Stellenmarkt

1. Hays AG, Darmstadt
2. CITTI Handelsgesellschaft mbH & Co. KG, Kiel

Im November entdeckte Eset auf mehreren Universitätsrechnern die Schadsoftware Shadowpad sowie die Schadsoftware Winnti, die beide der gleichnamigen Hackergruppe zugeordnet werden. Die Sicherheitsfirma geht von einem gezielten Angriff aus, da sich die Namen der betroffenen Universitäten in den URLs der Command-and-Control-Server wiedergefunden hätten. Anhand der URLs konnten sie auch zwei weitere Universitäten ausfindig machen, die mutmaßlich von den Angriffen betroffen waren.

"Shadowpad ist eine modulare Hintertür, die standardmäßig jeden Tastenanschlag mit dem Keylogger-Modul aufzeichnet", erklärte Mathieu Tartare von Eset, der den Angriff untersucht hat. "Die Verwendung dieses Moduls zeigt, dass die Angreifer daran interessiert sind, Informationen von den Maschinen der Opfer zu stehlen." Bei anderen von Eset analysierten Angriffen sei das Keylogger-Modul beispielsweise nicht mitinstalliert worden.

Die Sicherheitsfirma vermutet, dass es Winnti auf Informationen über die Proteste sowie deren Störung in Hong Kong, insbesondere der Studenten an der jeweiligen Universität, abgesehen hat. Diese fordern mehr Demokratie in einem von China unabhängigen Hong Kong. Bisher hat Winnti vor allem wirtschaftliche Ziele ausgespäht. So wurden letztes Jahr Angriffe auf sechs DAX-Unternehmen bekannt, darunter der Technologiekonzern Siemens, die Chemie-Konzerne BASF und Covestro sowie der Waschmittel- und Klebstoffhersteller Henkel. Neben den DAX-Unternehmen legen die Spuren auch Attacken auf den US-Softwarehersteller Valve, der für die Spieleplattform Steam bekannt ist, sowie die japanischen Konzerne Shin-Etsu Chemical und Sumitomo nahe.

Einige Monate zuvor wurde ein Angriff von Winnti auf den Pharma-Riesen Bayer bekannt, der bereits 2018 stattgefunden hat. Dieselbe Gruppe wird auch für einen Spionageangriff auf den Industriekonzern Thyssenkrupp sowie für Hacks mehrerer Gaming- und Software-Firmen verantwortlich gemacht.