Hackergruppe „Winnti“ hat zahlreiche deutsche Firmen im Visier

Moritz Contag (links) und Thorsten Holz vom Horst-Görtz-Institut für IT-Sicherheit sind Experten für die Analyse von Binärcode. © Mareen Meyer

Prof. Dr. Thorsten Holz leitet den Lehrstuhl für Systemsicherheit am Horst-Görtz-Institut für IT-Sicherheit und ist einer der Sprecher des Exzellenzclusters Casa. © Mareen Meyer

Die Unternehmen Thyssen-Krupp und Bayer sind prominente und bereits bekannte Opfer. Nun haben der Bayerische Rundfunk und der NDR gemeinsam mit Bochumer Forschern aufgedeckt, wie die Hackergruppe „Winnti“ vorgeht.

Wie die Hackergruppe „Winnti“ deutsche und internationale Firmen attackiert und wer bereits unter den Opfern ist, haben Forscher der Ruhr-Universität Bochum gemeinsam mit einem Rechercheteam des Bayerischen Rundfunks (BR) und NDR zutage gefördert. Winnti operiert vermutlich seit mindestens zehn Jahren aus China heraus und späht Unternehmen weltweit aus. Nach Analysen des Teams um Prof. Dr. Thorsten Holz vom Bochumer Horst-Görtz-Institut für IT-Sicherheit sind mindestens ein Dutzend Firmen von der Winnti-Software betroffen. Besonders im Fokus stehen Unternehmen der chemischen Industrie, darüber hinaus aber auch Hersteller von Computerspielen, Telekommunikationskonzerne, Pharmaindustrie und die Halbleiterbranche. Die Medien berichteten am 24. Juli 2019 über die Ergebnisse der Recherche.

Schadsoftware aus dem Baukasten

Der Medienverbund von BR und NDR zog Thorstern Holz und seinen Doktoranden Moritz Contag zu der Recherche hinzu, weil sie Experten für die Analyse von Software, speziell Binärcode sind. „Es gibt mittlerweile drei Generationen der Winnti-Software“, erklärt Thorsten Holz, einer der Sprecher des Exzellenzclusters Casa (Cyber-Security in the Age of Large-Scale Adversaries). „Sie ist modular wie ein Baukasten aufgebaut. Daraus kann die Gruppe dann für den jeweiligen Zweck und die Opferfirma die passende Schadsoftware zusammensetzen.“

Kontrollserver für Schadsoftware steht teils im Firmennetzwerk

Im Binärcode der Software ist auch eine Konfigurationsdatei enthalten, die entscheidende Optionen zur Steuerung der Schadsoftware enthält. Binärcode kann vom Prozessor direkt ausgeführt werden, ist aber für Menschen kaum verständlich. Die Bochumer IT-Experten übersetzten den Code in lesbare Sprache und zeigten, dass die Dateien beispielsweise die Information enthielten, von welchem Server aus die Schadsoftware gesteuert wurde und wo im Opfersystem die Schadsoftware liegt.

So werden Firmennetzwerke infiziert

Die Infektion mit der Schadsoftware erfolgt häufig über Phishing-Mails. Klickt ein Nutzer auf einen Link in einer solchen Mail oder öffnet den Anhang, installiert sich die Winnti-Software auf dem System. Die Angreifer nutzen dieses System dann für weitere Angriffe innerhalb des Firmennetzwerks. Auf einem infizierten Server kann sich die Software unbemerkt verstecken, bis sie ein Signal vom Kontrollserver enthält und aktiviert wird.

Angriffe mittlerweile auch auf Linux-Systeme

Die Winnti-Software hat zum Ziel, Systeme mit dem Windows-Betriebssystem zu infizieren. Inzwischen existiert auch eine Version für Linux, wie im März 2019 bekannt wurde.

Mehr Informationen finden Sie hier.

 

Pressekontakt

Prof. Dr. Thorsten Holz
Lehrstuhl für Systemsicherheit
Horst-Görtz-Institut für IT-Sicherheit
Ruhr-Universität Bochum
Tel.: 0234 32 25199
E-Mail:
thorsten.holz@rub.de

Julia Laska/Christina Scholten
Marketing und PR

Horst-Görtz-Institut für IT-Sicherheit und Exzellenzcluster Casa
Ruhr-Universität Bochum
Tel.: 0234 32 29162
E-Mail: hgi-presse@rub.de