Cybersicherheit aktuell

Aktuell warnt das Bundesamt für Verfassungsschutz (BfV) die deutsche Wirtschaft vor gezielten Cyberangriffen. Zuletzt waren Mitte 2019 mehrere deutsche DAX-Konzerne Ziel von Hackerangriffen geworden. Nach Erkenntnissen des BfV starteten die Angriffe vermutlich bereits im Jahre 2016.

Die Attribution der aktuellen Cyberangriffe führt zur WinNTI Gruppierung als deren Urheber. Diese professionelle Hackergruppe spioniert bereits seit Jahren weltweit Unternehmen aus. Erste Angriffe mit älteren Versionen der eingesetzten Schadsoftware wurden bereits im Jahr 2013 detektiert.

Der Begriff WinNTI bezeichnet sowohl eine konkrete Angreifer-Gruppierung, als auch eine ausgefeilte Schadsoftware deren Ziel es ist, den dauerhaften Zugriff auf dem kompromittierten System zu erlangen und Cyber-Spionage zu betreiben.

Hat die Schadsoftware einen Computer infiziert, verhält sie sich zunächst passiv und wartet auf Steuerbefehle. Danach greifen die Hacker aus der Ferne auf die betroffenen IT-Systeme und -Netzwerke zu und spionieren die Unternehmen gezielt aus.

Die aktuelle Angriffswelle zeigt, dass die WinNTI Gruppierung in der Lage ist, ihre Aktivitäten an aktuelle Sicherheitsmaßnahmen der Netzwerke ihrer Ziele anzupassen und sich entsprechend zu tarnen.

Die Historie der WinNTI Hacker-Gruppierung zeigt auch, wie fließend die Grenzen zwischen Cyber-Kriminalität und Cyber-Spionage sind.

Das BfV hat mit dem Cyber-Brief 01/2019 einen technischen Bericht über die Bedrohung durch die WinNTI-Sachadsoftware veröffentlicht. Der Cyber-Brief enthält aktuelle Detektionsregeln und technische Indikatoren (Indicators of Compromise), um eine mögliche Infektion feststellen zu können. Außerdem wird die Funktionsweise der aktuellsten Variante der WinNTI -Schadsoftware dargestellt.

Der Cyber-Brief dient zur Unterrichtung der Wirtschaft und kann von Ihnen weitergegeben werden.

Bei Rückfragen stehen wir gerne zur Verfügung. Sie erreichen uns auch per Mail unter wirtschaftsschutz(at)mdi.rlp.de.