Winnti: Wenn eine APT protestierende Studenten angreift

Bisher hatte es die Hackergruppe Winnti auf Unternehmen wie Bayer oder Siemens abgesehen, nun haben sich die Ziele verändert. Statt Wirtschaftsspionage geht die APT gegen protestierende Studenten in Hong Kong vor.

Artikel veröffentlicht am ,
Protest für Demokratie in Hong Kong.
Protest für Demokratie in Hong Kong. (Bild: Anthony Kwan/Getty Images)

Die Hackergruppe Winnti wird als Advanced Persistant Threat (APT) eingestuft und spioniert wahrscheinlich im Auftrag Chinas Industriegeheimnisse aus. Spektakuläre Winnti-Fälle betrafen daher vor allem große Konzerne wie Bayer, Siemens oder BASF. Doch neben Wirtschaftsspionage scheint die APT ein neues Ziel zu haben: Protestierende Studenten in Hong Kong. Die Sicherheitsfirma Eset entdeckte bei fünf Universitäten in Hong Kong Schadsoftware, die der Winnti-Gruppe zugeordnet wird. Zuerst hatte das Onlinemagazin The Register berichtet.

Stellenmarkt
  1. IT-Mitarbeiter (m/w/d) für klinische Anwendungen und Digitalisierungsprojekte
    Diakonie-Klinikum Stuttgart, Stuttgart
  2. Expert Configuration Management (m/w/d)
    Vodafone GmbH, Eschborn
Detailsuche

Im November entdeckte Eset auf mehreren Universitätsrechnern die Schadsoftware Shadowpad sowie die Schadsoftware Winnti, die beide der gleichnamigen Hackergruppe zugeordnet werden. Die Sicherheitsfirma geht von einem gezielten Angriff aus, da sich die Namen der betroffenen Universitäten in den URLs der Command-and-Control-Server wiedergefunden hätten. Anhand der URLs konnten sie auch zwei weitere Universitäten ausfindig machen, die mutmaßlich von den Angriffen betroffen waren.

"Shadowpad ist eine modulare Hintertür, die standardmäßig jeden Tastenanschlag mit dem Keylogger-Modul aufzeichnet", erklärte Mathieu Tartare von Eset, der den Angriff untersucht hat. "Die Verwendung dieses Moduls zeigt, dass die Angreifer daran interessiert sind, Informationen von den Maschinen der Opfer zu stehlen." Bei anderen von Eset analysierten Angriffen sei das Keylogger-Modul beispielsweise nicht mitinstalliert worden.

Die Sicherheitsfirma vermutet, dass es Winnti auf Informationen über die Proteste sowie deren Störung in Hong Kong, insbesondere der Studenten an der jeweiligen Universität, abgesehen hat. Diese fordern mehr Demokratie in einem von China unabhängigen Hong Kong. Bisher hat Winnti vor allem wirtschaftliche Ziele ausgespäht. So wurden letztes Jahr Angriffe auf sechs DAX-Unternehmen bekannt, darunter der Technologiekonzern Siemens, die Chemie-Konzerne BASF und Covestro sowie der Waschmittel- und Klebstoffhersteller Henkel. Neben den DAX-Unternehmen legen die Spuren auch Attacken auf den US-Softwarehersteller Valve, der für die Spieleplattform Steam bekannt ist, sowie die japanischen Konzerne Shin-Etsu Chemical und Sumitomo nahe.

Golem Akademie
  1. Scrum Product Owner: Vorbereitung auf den PSPO I (Scrum.org): virtueller Zwei-Tage-Workshop
    3.–4. März 2022, virtuell
  2. Netzwerktechnik Kompaktkurs: virtueller Fünf-Tage-Workshop
    14.–18. Februar 2022, virtuell
Weitere IT-Trainings

Einige Monate zuvor wurde ein Angriff von Winnti auf den Pharma-Riesen Bayer bekannt, der bereits 2018 stattgefunden hat. Dieselbe Gruppe wird auch für einen Spionageangriff auf den Industriekonzern Thyssenkrupp sowie für Hacks mehrerer Gaming- und Software-Firmen verantwortlich gemacht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


INSTALL... 04. Feb 2020

Diese Ungleichheit von Arm und Reich ist doch unter der KPCh genauso der Fall. Allerdings...

davidflo 02. Feb 2020

Wahrscheinlich war es wieder mal eine "einfache" Shodansuche ( https://www.shodan.io...

Untrolla 02. Feb 2020

Wem? Den Chinesiern?

Anonymer Nutzer 01. Feb 2020

Wie soll das denn technisch aussehen? Man kann doch anhand eines Portscans überhaupt...



Aktuell auf der Startseite von Golem.de
Xbox Cloud Gaming
Wenn ich groß bin, möchte ich gerne Netflix werden

Call of Duty, Fallout oder Halo: Neue Spiele bequem am Business-Laptop via Stream zocken, klingt zu gut, um wahr zu sein. Ist auch nicht wahr.
Ein Erfahrungsbericht von Benjamin Sterbenz

Xbox Cloud Gaming: Wenn ich groß bin, möchte ich gerne Netflix werden
Artikel
  1. Lego Star Wars UCS AT-AT aufgebaut: Das ist kein Mond, das ist ein Lego-Modell
    Lego Star Wars UCS AT-AT aufgebaut
    "Das ist kein Mond, das ist ein Lego-Modell"

    Ganz wie der Imperator es wünscht: Der Lego UCS AT-AT ist riesig und imposant - und eines der besten Star-Wars-Modelle aus Klemmbausteinen.
    Ein Praxistest von Oliver Nickel

  2. Kryptowährung im Fall: Bitcoin legt rasante Talfahrt hin
    Kryptowährung im Fall
    Bitcoin legt rasante Talfahrt hin

    Am Samstag setzte sich der Absturz des Bitcoin fort. Ein Bitcoin ist nur noch 34.200 US-Dollar wert. Auch andere Kryptowährungen machen Verluste.

  3. Andromeda: Dieses Microsoft-Smartphone-Betriebssystem erschien nie
    Andromeda
    Dieses Microsoft-Smartphone-Betriebssystem erschien nie

    Erstmals ist ein Blick auf Andromeda möglich - das Smartphone-Betriebssystem, das Microsoft bereits vor einigen Jahren eingestellt hat.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MediaMarkt & Saturn: Heute alle Produkte versandkostenfrei • Corsair Vengeance RGB RT 16-GB-Kit DDR4-4000 114,90€ • Alternate (u.a. DeepCool AS500 Plus 61,89€) • Acer XV282K UHD/144 Hz 724,61€ • MindStar (u.a. be quiet! Pure Power 11 CM 600W 59€) • Sony-TVs heute im Angebot [Werbung]
    •  /