24.07.2019, Bochum, Metropole Ruhr, NRW, Deutschland, Wissenschaft und Forschung, Wirtschaft

Bochumer IT-Experten decken Vorgehen der Hackergruppe "Winnti" auf

Bochum (idr). Die Hackergruppe "Winnti", auch bekannt als APT10, späht weltweit Unternehmen. Thyssenkrupp und Bayer gehören zu ihren prominenten Opfern. Wie die Hacker vorgehen und wer bereits ausgespäht wurde, haben Forscher der Ruhr-Universität Bochum gemeinsam mit einem Rechercheteam des Bayerischen Rundfunks (BR) und des Norddeutschen Rundfunks (NDR) jetzt zutage gefördert. Winnti schleust Schad- bzw. Spionage-Software in die Netzwerke ein und späht die Unternehmen so aus. Nach den Analysen sind mindestens ein Dutzend Firmen von der Winnti-Software betroffen, darunter sechs Dax-Konzerne. Besonders im Fokus stehen Unternehmen der chemischen Industrie, aber auch Hersteller von Computerspielen, Telekommunikationskonzerne, Pharmaindustrie und die Halbleiterbranche. Die Hacker operieren vermutlich seit rund zehn Jahren von China aus.

Unter den Betroffenen sind nicht nur Unternehmen, Winnti spionierte beispielsweise auch die Regierung Hongkongs aus. Die Medien vermuten daher, dass die Gruppe nicht nur Wirtschaftsspionage, sondern außerdem politische Spionage betreibt.

Die Software ist modular aufgebaut und wird für den jeweiligen Zweck zusammengesetzt. So gibt es z.B. ein Modul, das die Software auf einem Server des betroffenen Unternehmens versteckt, ein Modul, das das Sammeln von Informationen im Firmennetzwerk ermöglicht, oder ein Modul, das einen Kommunikationskanal nach draußen aufbaut. Infiziert werden die Netzwerke häufig über Phishing-Mails. Klickt ein Nutzer auf einen Link in einer solchen Mail oder öffnet den Anhang, installiert sich die Winnti-Software auf dem System. Die Angreifer nutzen dieses System dann für weitere Angriffe innerhalb des Firmennetzwerks. Auf einem infizierten Server kann sich die Software unbemerkt verstecken, bis sie ein Signal vom Kontrollserver enthält und aktiviert wird. Dann kommuniziert das Programm über einen verschlüsselten Kanal mit dem Kontrollserver, sendet etwa bestimmte Daten aus dem Firmennetzwerk an die Angreifer.

Pressekontakt: Ruhr-Universität Bochum, Horst-Görtz-Institut für IT-Sicherheit, Prof. Dr. Thorsten Holz, Telefon: 0234/32-25199, E-Mail: thorsten.holz@rub.de; Marketing und PR, Julia Laska, Telefon: -29162, E-Mail: hgi-presse@rub.de

Zurück zur Übersicht