Spionageversuch: Chemiekonzern Lanxess im vergangenen Jahr gehackt
In der zweiten Hälfte des Jahres 2019 wurde im Netz von Lanxess Spionage-Malware entdeckt. Recherchen deuten auf die (wohl chinesische) Hackergruppe Winnti.
by Olivia von WesternhagenWie Recherchen von BR und NDR ergaben, ist das deutsche Chemieunternehmen Lanxess von Hackern angegriffen und ausspioniert worden. Auf Anfrage der Journalisten bestätigte der Konzern die Angriffe. Dabei sei eine Schadsoftware zum Einsatz gekommen, die man zweiten Hälfte des vergangenen Jahres im Unternehmensnetz entdeckt habe. Daraufhin seien umgehend Gegenmaßnahmen eingeleitet worden.
Laut einem Bericht auf tagesschau.de hatte ein Sprecher von Lanxess zunächst gesagt, dass keine "geschäftsrelevanten sensiblen Daten in signifikantem Umfang" abgeflossen seien. Später habe er sich allerdings korrigiert: Man habe "keine Erkenntnisse zu einem möglichen Abfluss von Daten". Die Strafvefolgungsbehörden seien eingeschaltet worden und man wolle sich nicht weiter zu dem Fall äußern.
Recherchen deuten auf Spionage durch "Winnti" hin
Den Recherchen der Journalisten zufolge steckt die Hackergruppe "Winnti" hinter dem Angriff. Diese ist schon seit einigen Jahren aktiv und wird von Experten mit der chinesischen Regierung in Verbindung gebracht. Bereits im Juli 2019 hatten BR und NDR Aktivitäten der Hackergruppe öffentlich gemacht: Damals waren acht deutsche Unternehmen von Cyberangriffen durch Winnti betroffen – darunter sechs Dax-Konzerne.
Die Journalisten haben die von Winnti bei dem Angriff auf Lanxess verwendete Schadsoftware gleichen Namens analysieren lassen. Die Winnti-Analyse habe ergeben, dass diese wohl schon 2015 für den Einsatz zu Spionagezwecken bei Lanxess konzipiert wurde. Offenbar befand sich der Name einer Unterabteilung von Lanxess, nämlich Rheinchemie, im Programmcode der Malware.
Lesen Sie auch
APT: Winnti und EvilGnome spionieren Linux-Desktops aus
Das Rechercheteam hält es laut dem Bericht auf tagesschau.de für naheliegend, dass der Konzern über Jahre ausspioniert wurde. Konkrete Beweise, etwa in Form von Logdateien, liegen ihm aber nicht vor.
Winnti sei derweil weiterhin aktiv, worauf unter anderem entsprechende Command-and-Control-Server-Aktivitäten sowie Hinweise auf aktuelle Angriffe auf (im Bericht nicht namentlich genannte) Universitäten in Hongkong hindeuten. (ovw)