Seit Jahren spioniert eine professionelle Hackergruppe weltweit Unternehmen aus: Winnti. Mutmaßlich gesteuert aus China. Recherchen von BR und NDR zeigen erstmals das Ausmaß und wie die Hacker vorgehen. - von Hakan Tanriverdi, Svea Eckert, Jan Strozyk, Maximilian Zierer und Rebecca Ciesielski
English version: Our report on hackers for hire, conducting industrial espionage
Das können Computerviren sein oder aber Trojaner.
Die Recherche beginnt mit einem Code: daa0 c7cb f4f0 fbcf d6d1. Wer ihn kennt, kommt „Winnti" auf die Schliche. Hackern, die seit Jahren Unternehmen auf der ganzen Welt ausspionieren. Eine Gruppe, wohl aus China, hat vor allem Deutschland mit seinen Dax-Konzernen ins Visier genommen. Reporterinnen und Reportern von BR und NDR ist es erstmals gelungen, Hunderte Varianten der dafür verwendeten Schadsoftware auszuwerten. Betroffen sind mindestens sechs Dax-Konzerne, Aushängeschilder der deutschen Industrie.
Winnti ist ein schwer zu durchdringender Komplex. Der Begriff bezeichnet einerseits eine ausgefeilte Schadsoftware, andererseits auch eine konkrete Gruppierung. IT-Sicherheitsexperten sprechen gar von einer digitalen Söldnertruppe. Mindestens seit 2011 setzen diese Hacker die Schadsoftware ein, um Unternehmensnetze auszuspionieren. Sie sammeln Informationen über die Organigramme von Firmen, welche Abteilungen zusammenarbeiten, über die IT-Systeme einzelner Firmenteile und natürlich auch Geschäftsgeheimnisse.
Ein IT-Sicherheitsexperte, der die Angriffe seit Jahren analysiert, sagt halb im Scherz: „Ein Dax-Konzern, der nicht von Winnti angegriffen wurde, hat irgendetwas falsch gemacht." Ein hochrangiger deutscher Beamter sagt: „Die Fallzahlen sind immens". Die Gruppe sei sehr aktiv - auch heute noch. Der Beamte bleibt namentlich ungenannt, ebenso wie der Großteil der mehr als 30 Personen, mit denen wir für diesen Artikel sprechen konnten: Firmen-Mitarbeiter, IT-Sicherheitsexperten, Regierungsbeamte und Vertreter von Sicherheitsbehörden. Offen sprechen wollen oder dürfen sie nicht. Doch Taktiken können sie preisgeben.
So können wir die Software finden und selbst sehen, wie die Angreifer arbeiten. Mit Hilfe der Informanten kommen wir, die Reporterinnen und Reporter, der Gruppe auf die Spur: Ein Teil dieser Spur ist der Code: daa0 c7cb f4f0 fbcf d6d1.
Die einzelnen Schritte der Hacker werden in Logdateien abgespeichert.
Moderne Spionageoperationen haben einen großen Vorteil: Anstatt Agenten in Unternehmen einzuschleusen, schicken digital arbeitende Spione eine präparierte E-Mail. Anstatt vertrauliche Unterlagen zu fotografieren, während die anderen Mitarbeiter in der Kantine sitzen, loggen sich Hacker aus der Ferne auf Unternehmensrechnern ein und schicken ihre Befehle per Tastatur. Doch die Hacking-Operationen haben auch einen Nachteil. Sie hinterlassen digitale Spuren. Wer die Hacker bemerkt, kann ihre Schritte protokollieren. Die Hacker ahnen nicht, dass sie selbst nun minutiös beobachtet werden, teilweise monatelang.
Um die Spuren der Hacker zu entschlüsseln, muss man sich den Programmcode der Schadsoftware selbst genauer ansehen. Finden kann man ihn zum Beispiel in von Privatfirmen betriebenen Datenbanken wie „Virustotal". Die Firma gehört Google und ist eine Art Suchmaschine für Schadsoftware. Die dort hinterlegten Informationen sind für IT-Berater und Sicherheitsfirmen so wertvoll, dass der Zugriff tausende Euro im Monat kostet. Menschen, die sich nicht sicher sind, ob ein Mail-Anhang einen Trojaner enthält, können ihn hier von weit über 50 Antiviren-Programmen checken lassen. Im Gegenzug speichert Virustotal die Datei ab, mit Hilfe eines digitalen Fingerabdrucks. Mit dem können auch andere Menschen nach der Datei suchen und die dort enthaltenen Codes analysieren. Wir zum Beispiel.
C:\Windows\system32\ wbem\system.dat 3047 ed57 acac 30c2 327e 7407 0b38 64b7 C:\Windows\system32\ wbem\system.dat 3047 ed57 acac 30c2 327e 7407 0b38 64b7
Früher deckten ausschließlich Nachrichtendienste Spionage-Operationen auf. Heute beschäftigen Konzerne und IT-Sicherheitsfirmen Mitarbeiter mit sechsstelligen Jahresgehältern. Sie suchen in den Firmennetzen und auf Virustotal nach Hinweisen auf Hackergruppen. Denn ausspioniert werden schließlich die Konzerne, in denen sie arbeiten - und geheime Formeln und Baupläne müssen geschützt werden. Diese Mitarbeiter können es fachlich mit den Diensten aufnehmen. Es ist so eine Person, die sich mit uns trifft und ein Blatt Papier über den Tisch schiebt.
„Damit könnte man die Hacker finden", sagt der Mann. Denn sie spionieren sehr viele Ziele gleichzeitig aus und müssen deshalb einen Weg finden, um den Überblick zu behalten. Dabei hätten sie auf Bequemlichkeit gesetzt statt auf Anonymität. Schon bald merken wir, wie erstaunlich fahrlässig die Hacker vorgehen. Wir arbeiten mit Moritz Contag zusammen, einem IT-Sicherheitsexperten der Ruhr-Universität Bochum (RUB). Es zeigt sich: Die Hacker schreiben den Namen des Unternehmens, das sie ausspionieren wollen, direkt in ihre Schadsoftware. Contag hat über 250 Varianten der Winnti-Schadsoftware analysiert und darin Namen von Weltkonzernen gefunden.
Operational Security. Sammelbegriff für alle Schritte, die Hacker unternehmen, um ihre Spuren zu verwischen.
Hacker treffen normalerweise Vorsichtsmaßnahmen, Fachleute sprechen von Opsec. Bei der Winnti-Gruppe war sie miserabel. Vielleicht war es ihnen nicht so wichtig, vermutet jemand, der für einen europäischen Nachrichtendienst chinesische Hacker im Blick behielt: „Diesen Hackern ist egal, ob sie erkannt werden. Sie wollen nur ihre Ziele erreichen."
Auf dem Blatt Papier, das der Mitarbeiter uns zeigt, steht der Code daa0 c7cb f4f0 fbcf d6d1. Diese Zeichenfolge finden wir auch bei Virustotal wieder, der gigantischen Datenbank mit infizierten Dateien.
m.
Schritt 1: Am Ende einer Windows-Datei finden wir den Code: daa0 c7cb f4f0 fbcf d6d1. In diesem Datenstrom verstecken die Winnti-Hacker ihre Befehle.
Schritt 2: Die Daten sind leicht zu demaskieren. Ab jetzt können wir sehen, was die Hacker vorhaben. daa0 c7cb f4f0 fbcf d6d1 verwandelt sich in C:\Windows, einen Dateipfad auf dem Microsoft-Betriebssystem.
Schritt 3: Damit die Hacker wissen, in welchem Netzwerk sie sich befinden, schreiben sie es einfach direkt in ihr Programm. In diesem Beispiel sind die Winnti-Hacker in den Netzwerken von Gameforge.
In der Anfangsphase ging es den Hackern anscheinend darum, Geld zu verdienen. Das zeigt der Fall Gameforge: eine Spiele-Firma mit Sitz in Karlsruhe. In den besten Jahren des Unternehmens arbeiteten hier 700 Mitarbeiter daran, den Gaming-Markt weltweit zu erobern, der Umsatz lag bei rund jährlich 140 Millionen Euro. Gameforge bietet so genannte „Freemium"-Spiele an. Gezockt wird kostenlos, wer mehr will, muss sich virtuelles Geld verdienen, in dem er Aufgaben erfüllt, was lange Zeit dauert - oder dafür echtes Geld hinblättern.
[...]