Winnti

Winnti ist eine Gruppe von Hackern, die im Verdacht steht, Industriespionage-Angriffe auf verschiedene (auch deutsche) Unternehmen ausgeführt zu haben. Sie wird nach der gleichnamigen Schadsoftware benannt. Experten vermuten hinter der Spionagegruppe den chinesischen Staat.^[1]

Geschichte

Seit 2007 generierte die Gruppe sogenannte „Fake-Anti-Viren-Schadsoftware“, mit der Opfer dazu bewegt wurden, eine Lizenz für gefälschte Sicherheitssoftware zu bezahlen.

Im Herbst 2011 trat erstmals ein Trojaner auf Computern in Erscheinung, deren Benutzer beliebte Onlinespiele nutzten. Das Programm basierte auf einer DLL-Bibliothek, die für 64-Bit-Windows-Betriebssysteme ausgelegt war und sogar eine gültige Signatur aufwies. Laut Kaspersky Lab war es der erste Trojaner für 64-Bit-Systeme mit gültiger Signatur. Der Diebstahl von Signaturen und deren Nutzung für den Diebstahl weiterer Signaturen ist eines der Hauptmerkmale dieser Gruppe.

Die Aktivitäten der Gruppe sind auf eine langfristige Internetspionage ausgelegt. Winnti ist „asiatischer“ (BSI) oder chinesischer Herkunft oder sie verkauft die gestohlenen Zertifikate auf dem chinesischen Schwarzmarkt.

Ebenso wird der Gruppe ein Bootkit namens HDroot aus dem Jahr 2006 zugeschrieben.

Im Frühjahr 2019 wurde der Verdacht geäußert, dass Winnti in Datenbanken der Konzerne Bayer AG, Thyssenkrupp und Siemens eingedrungen sei.^[2][3][4][5]

Die Gruppe spioniert wahrscheinlich im Auftrag Chinas Industriegeheimnisse aus. Außerdem erfolgten Angriffe auf protestierende Studenten der Demokratiebewegung in Hongkong (siehe Proteste in Hongkong 2019/2020). Die Angriffe wurden von der Sicherheitsfirma Eset entdeckt. Dabei wurde neben der Winnti Schadsoftware auch die Hintertür Shadowpad, ein Keylogger, auch dieser Gruppe zugerechnet.^[6]

Weblinks

• BSI, Die Lage der IT-Sicherheit in Deutschland 2017.
• Kaspersky Lab, Winnti: More than just a game, Bericht vom April 2013.