Cyber Security Vorfälle im April 2019
Wie Industriespionage die deutsche Wirtschaft gefährdet
Anfang April wurde bekannt, dass die Bayer AG Ziel eines Angriffs der sogenannten Wicked Panda Gruppe geworden ist. Berichten des NDR und BR zufolge hatte die Hackergruppe bereits mindestens seit Anfang 2018 Zugriff auf das Firmennetzwerk, erst Ende März 2019 wurde dieser endgültig beseitigt. Wicked Panda ist eine Hackergruppe, die zu dem sogenannten Winnti Umbrella gehört, einer Gruppierung von Hackergruppen die der chinesischen Regierung nahestehen bzw. von dieser unterstützt werden.
Benannt ist die Gruppierung nach der Backdoor Winnti, welche die einzelnen Gruppen verwenden, um den Zugriff auf dem kompromittierten System zu erhalten. Darüber hinaus ähnelt sich auch das generelle Vorgehen — im Fachjargon als Tactics, Techniques and Procedures (TTP) bezeichnet — dieser Gruppen: Der erste Zugriff wird in der Regel durch eine Spear-Phishing Kampagne erlangt. Dabei handelt es sich um gezielte Social Engineering Angriffe auf privilegierte Nutzer wie beispielsweise HR Manager oder IT-Personal, insbesondere Mitarbeiter der internen Informationssicherheitsabteilung. Nach Erlangen der Passwörter wird Malware auf dem Zielsystem eingeschleust, welche zum einen die erwähnte Winnti-Backdoor installiert und sich zum anderen weiter im Netzwerk ausbreitet. Das Ziel der Hacks waren anfänglich — die genannten Hackergruppen sind bereits seit über einem Jahrzehnt aktiv — in erster Linie Softwareunternehmen (insbesondere Videospielhersteller). Dort haben die Angreifer vorwiegend Zertifikate zur Codesignierung, um damit zukünftige Malware zu signieren und damit deren Verbreitung enorm zu erleichtern, Sourcecode oder Informationen zu technischen Dokumentationen abgegriffen. Zielten die Angriffe zunächst noch auf finanziellen Gewinn ab, so sind diese jedoch zunehmend politisch motiviert, beispielsweise gegen Journalisten, Aktivisten oder fremde Regierungen. Außerdem sind vermehrt große Technologieunternehmen (überwiegend in USA, Japan, Südkorea und China) Opfer der Angriffe.
Eine weitere Gemeinsamkeit der Winnti Umbrella Gruppen ist das äußerst unauffällige Vorgehen, was die Erkennung des Hacks erschwert und die Zeit bis zur Erkennung somit bedeutend anwachsen lässt. Zeit, welche die Hacker nutzen, um sich im Netzwerk auszubreiten und geheime Dateien abzugreifen. Weiterhin gibt es Anzeichen dafür, dass die Hackergruppen des Winnti Umbrella Personal sowie technische Ressourcen wie Angriffsinfrastruktur, bspw. Command and Control (C2) Server, teilen.
Laut Global Threat Report ist China für über 25% aller regierungsfinanzierten Cyberangriffe verantwortlich und führt die Liste damit vor Korea, dem Iran und Russland an.
Auch wenn Angriffe teilweise nicht zu 100% einer bestimmten Regierung zugeordnet werden können, so gibt es einige Beweise und Indizien wie z.B. IP-Adressen, die durch unvorsichtiges Handeln der Hacker erlangt wurden und Aufschluss über deren Standort geben. Als einer der Hauptgründe für die Angriffe gilt dem Bericht zufolge unter anderem Industriespionage.
In diesem Zusammenhang wird häufig Chinas Made in China 2025 Plan (MIC 2025) als Motivation erwähnt. Das Ziel dieses Plans ist es bis zum Jahr 2025 die Position Chinas in 10 Kernbereichen zu stärken und bis 2049 in allen 10 Bereichen zum Weltmarktführer aufzusteigen. Zu diesen Bereichen zählen in erster Linie High-Tech Bereiche wie IT, Robotik, Elektromobilität aber auch die Pharmaindustrie. Eins der größten Pharmaunternehmen der Welt ist die Bayer AG. Bereits 2016 hat dieselbe Hackergruppe zudem ThyssenKrupp angegriffen. Des Weiteren sind seit Anfang des Jahres bereits drei weitere aus China stammende Angriffe auf mittelständische Unternehmen in Deutschland festgestellt worden.
Im Fall Bayer sind — angeblich — trotz des lange unbemerkten Zugangs keine Daten abgegriffen worden. Dennoch zeigt der Fall, dass die deutsche Industrie nicht auf solche professionellen Spionageangriffe vorbereitet ist und die IT-Sicherheit gefährdet ist. Auch die 2015 von Bayer mitgegründete Deutsche Cyber-Sicherheitsorganisation (DCSO) konnte nicht verhindern, dass es über ein Jahr gedauert hat, bis die Hacker aus dem Netzwerk entfernt werden konnten. Bei ThyssenKrupp hatte die „Abwehrschlacht“ 6 Monate gedauert.
Derartige Angriffe auf das geistige Eigentum der Unternehmen ermöglicht es ausländischen Regierungsorganisationen sehr schnell Innovationen hinter denen jahrelange Forschung steckt zu stehlen und gefährdet somit die wirtschaftliche Führungsposition dieser. Demnach sind solche Cyberangriffe insbesondere für die deutsche Wirtschaft ein ernstzunehmendes Problem.
Weitere Security Vorfälle im April
- LinkedIn: Forscher haben eine ungesicherte Datenbank mit ca. 60 Millionen LinkedIn Konten Die Herkunft dieser Datenbank ist indes noch ungeklärt, vermutlich handelt es sich bei dem Schuldigen jedoch um einen Drittanbieter.
- Instagram: Wie bereits im letzten Monat berichtet, wurde bei Facebook eine interne Datenbank mit schätzungsweise 200-600 Millionen unverschlüsselten Login-Daten entdeckt.
Neuen Erkenntnissen zufolgewaren Millionen von Instagram Benutzern ebenfalls davon betroffen. - Facebook: Daten von ca. 540 Millionen Facebook Benutzern waren in einer falsch konfigurierten Datenbank öffentlich zugänglich, schuld daran war ein Drittanbieter von Facebook.
- Norsk Hydro Update: Eigenen Angaben zufolge ist die Produktion des norwegischen Aluminiumherstellers seit Mitte April wieder im Normalbetrieb. Die Kosten für den Angriff belaufen sich auf ca. 45 Millionen Euro, die Veröffentlichung des vollständigen Quartalsberichts wurde auf Grund der Cyberattacke jedoch auf Anfang Juni verschoben. Weitere Informationen über die Hintergründe des Angriffs finden Sie hier.
- Citycomp: Wie am 30. April bekannt wurde, sind dem in Stuttgart ansässigen Dienstleister Citycomp 516 GB an Kundendaten entwendet worden. Citycomp bietet IT-Infrastruktur und Wartung an und zählt namhafte Unternehmen wie Volkswagen, Oracle, Airbus oder die Supermarktketten Rewe und Kaufland zu seinen Kunden. Auf den Erpressungsversuch der bislang unbekannten Täter, welche 5000 USD für die Daten verlangten, ist Citycomp nicht eingegangen. Um den Druck auf Citycomp zu erhöhen, haben die Täter angefangen die erbeuteten Kundendaten im Darknet zu verbreiten. Bei den Kundendaten handelt es sich Berichten zufolge um E-Mail-Adressen, Telefonnummern sowie Gehaltsabrechnungen und Buchhaltungsunterlagen. Auf welchem Weg die Angreifer ins Unternehmensnetzwerk eingedrungen sind ist bislang unklar, laut Aussagen der Angreifer war Citycomps Sicherheitssystem jedoch furchtbar (orig.: „awful“).