Update vom 24. Juli 2019: Wie der BR nun berichtet, wurde nicht nur die Bayer AG Opfer der Winnti-Hackergruppierung. Laut dem neuen Bericht sind mindestens sechs Dax-Firmen infiltriert worden. Darunter Thyssen Krupp und Teamviewer. Mit der gleichnamigen Schadsoftware hatte Winnti schon im Jahre 2011 die Spielefirma Gameforge hacken können, zudem BASF, Siemens, Henkel und Covestro – hauptsächlich Pharmaunternehmen.
Inzwischen sind wohl deutlich vermehrt große Industrie-Unternehmen zur Zielscheibe geworden, ebenso der Mittelstand in Deutschland. Dafür gibt es offenbar eine zweite Winnti-Hackergruppe.
Ein IT-Sicherheitsexperte, der die Angriffe seit Jahren analysiert, sagte gegenüber dem BR im Scherz: „Ein Dax-Konzern, der nicht von Winnti angegriffen wurde, hat irgendetwas falsch gemacht.“ Die Gruppe sei zudem sehr aktiv – auch heute noch.
News vom 4. April 2019 – Bayer AG von chinesischer Hackergruppe infiltriert: Der Konzern Bayer AG wurde offenbar von der chinesischen Hackergruppe „Winnti“ ausgespäht, das berichtete nun der Bayerische Rundfunk. Nach Informationen des BR und des NDR war die Schadsoftware der Hacker dabei bis Ende März im Netzwerk des Konzerns zu finden.
Bayer bestätigte dabei auf die Anfrage des BR, dass die Hacker in das Netzwerk des Konzerns eindringen konnten: „Unser Cyber Defense Center hat Anfang 2018 Anzeichen von Winnti-Infektionen detektiert und umfangreiche Analysen gestartet“. Es lasse sich jedoch nicht rekonstruieren, seit wann die Hacker im Netz von Bayer aktiv waren.
Winnti ist dabei kein unbeschriebenes Blatt. Die Hackergruppe soll laut IT-Sicherheitsexperten und deutschen Sicherheitsbehörden im Auftrag des chinesischen Staates agieren. Es wird zudem vermutet, dass Winnti auch für die Infiltrierung im Jahr 2016 bei Thyssen Krupp verantwortlich ist.
Und auch bei dem neuen Angriff handelte es sich wohl um einen Angriff mit klaren Zielen: „Wenn ein Unternehmen feststellt, dass es die Winnti-Schadsoftware auf einem oder mehreren Rechnern hat, dann ist klar, dass es sich um einen zielgerichteten Angriff handelt“, sagt Andreas Rohr, Leiter für Technik bei der Deutschen Cyber-Sicherheitsorganisation (DCSO). Die DCSO wurde bereits 2015 von verschiedenen Unternehmen, darunter Bayer selbst, gegründet. Sie soll für Aufklärung von Späh-Aktionen hinzugezogen werden.
Laut Bayer waren „Systeme an der Schnittstelle vom Intranet zum Internet sowie Autorisierungssysteme“ befallen. Der Konzern habe die Malware Anfang 2018 entdeckt und beobachtet sowie die Strafverfolgungsbehörden eingeschaltet. Journalisten des BR hatten die Winnti-Infektion mit einem Netz-Scanner namens Nmap entdeckt. Ohne die Recherche wäre der Vorfall wohl nicht öffentlich bekannt geworden.
Auch interessant: Report – Russische Hacker sind die schnellsten
Autor: René Resch, Autor
René ist seit 2013 im Team der PC-WELT und Macwelt. Anfangs noch in Ausbildung im Development-Team, weiter als Trainee und freier Mitarbeiter im Bereich des Portal-Managements und seit 2017 als freier Autor.