Winnti

Winnti ist eine Gruppe von Hackern, die im Verdacht steht, Industriespionage-Angriffe auf verschiedene (auch deutsche) Unternehmen ausgeführt zu haben. Sie wird nach der gleichnamigen Schadsoftware benannt. Experten vermuten hinter der Spionagegruppe den chinesischen Staat.^[1]

Geschichte[Bearbeiten | Quelltext bearbeiten]

Seit 2007 generierte die Gruppe sogenannte „Fake-Anti-Viren-Schadsoftware“, mit der Opfer dazu bewegt wurden, eine Lizenz für gefälschte Sicherheitssoftware zu bezahlen.

Im Herbst 2011 trat erstmals ein Trojaner auf Computern in Erscheinung, deren Benutzer beliebte Onlinespiele nutzten. Das Programm basierte auf einer DLL-Bibliothek, die für 64-Bit-Windows-Betriebssysteme ausgelegt war und sogar eine gültige Signatur aufwies. Laut Kaspersky Lab war es der erste Trojaner für 64-Bit-Systeme mit gültiger Signatur. Der Diebstahl von Signaturen und deren Nutzung für den Diebstahl weiterer Signaturen ist eines der Hauptmerkmale dieser Gruppe.

Die Aktivitäten der Gruppe sind auf eine langfristige Internetspionage ausgelegt. Winnti ist „asiatischer“ (BSI) oder chinesischer Herkunft oder sie verkauft die gestohlenen Zertifikate auf dem chinesischen Schwarzmarkt.

Ebenso wird der Gruppe ein Bootkit namens HDroot aus dem Jahr 2006 zugeschrieben.

Im Frühjahr 2019 wurde der Verdacht geäußert, dass Winnti in Datenbanken der Konzerne Bayer AG, Thyssenkrupp und Siemens eingedrungen sei.^[2][3][4][5]

Die Gruppe spioniert wahrscheinlich im Auftrag Chinas Industriegeheimnisse aus. Außerdem erfolgten Angriffe auf protestierende Studenten der Demokratiebewegung in Hongkong (siehe Proteste in Hongkong 2019/2020). Die Angriffe wurden von der Sicherheitsfirma Eset entdeckt. Dabei wurde neben der Winnti Schadsoftware auch die Hintertür Shadowpad, ein Keylogger, auch dieser Gruppe zugerechnet.^[6]

Weblinks[Bearbeiten | Quelltext bearbeiten]

• BSI, Die Lage der IT-Sicherheit in Deutschland 2017.
• Kaspersky Lab, Winnti: More than just a game, Bericht vom April 2013.

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

1. ↑ Jan Strozyk, Hakan Tanriverdi: Deutsches Chemieunternehmen gehackt. Eine Hackergruppe hat jahrelang deutsche Konzerne ausgespäht. Nun konnten Reporter von BR und NDR einen weiteren Fall nachweisen - beim Chemieriesen Lanxess. Experten vermuten, dass der chinesische Staat dahintersteckt. In: tagesschau.de. 31. Januar 2020, abgerufen am 23. Februar 2020. 
2. ↑ Hackerangriff auf Chemiekonzern Bayer. Erneut haben Hacker versucht, einem großen Industriekonzern sensible Informationen zu stehlen. Sie könnten im Auftrag der chinesischen Regierung gehandelt haben. 4. April 2019, abgerufen am 1. April 2019. 
3. ↑ Gurubaran: Chinese Hacking Groups Involved With Historical Period of Hacks Against Gaming Studios & Software Companies. 8. Mai 2018, abgerufen am 1. April 2019 (englisch). 
4. ↑ Hackerangriff durch "Winnti": Mehrere Dax-Konzerne betroffen. Die Hackergruppe "Winnti" soll versucht haben, Daten von Dax-Konzernen zu erbeuten. Daten seien aber nicht gestohlen worden. 24. Juli 2019, abgerufen am 24. Juli 2019. 
5. ↑ William Showalter: A Universal Windows Bootkit: An Analysis of the MBR Bootkit "HDRoot". In: Proceedings of the 50th Hawaii International Conference on System Sciences. 2017, ISBN 978-0-9981331-0-2, doi:10.24251/HICSS.2017.732. 
6. ↑ Moritz Tremmel: Wenn eine APT protestierende Studenten angreift. Bisher hatte es die Hackergruppe Winnti auf Unternehmen wie Bayer oder Siemens abgesehen, nun haben sich die Ziele verändert. Statt Wirtschaftsspionage geht die APT gegen protestierende Studenten in Hong Kong vor. In: golem.de. 1. Februar 2020, abgerufen am 23. Februar 2020.