Der Bayerische Rundfunk hat eine sehr lesenswerte Reportage über Hackerangriffe auf deutsche Unternehmen veröffentlicht. Der Artikel ist nicht nur hervorragend recherchiert, sondern auch sehr gut geschrieben und zudem optisch perfekt aufbereitet – wirklich empfehlenswert! Skripte zum Finden und Analysieren der Malware gibt es als Sahnehäubchen obendrauf.

Das fängt schon mit der Überschrift an, die einen interessanten Effekt enthält – professionell umgesetzt mit CSS, wie man im
Quelltext sehen kann. Auch später im Text sind gute Effekte zu sehen – nicht als Spielerei, sondern mit echten Mehrwert.

Eindrucksvoll sind auch die Hintergründe zu dem Beitrag. Die Reporter haben mit Experten zusammengearbeitet. Einer davon ist Moritz Contag von der Ruhr-Universität Bochum. Er hat ein Skript geschrieben, das Informationen aus Malware-Samplen ausliest. Dieses wurde auf GitHub veröffentlicht.

Die Winnti-Malware nistet sich auf Servern ein, tut aber zunächst nichts. Das CERT von ThyssenKrupp hat 2016 ein Nmap-Script entwickelt, das das schlafende Schadprogramm weckt und ihm eine Antwort entlockt. Damit konnten die BR-Reporter mehrere betroffene Unternehmen aufspüren.

Die Winnti-Schadsoftware und die damit operierende Gruppe hat zunächst auf Gaming-Servern Spielgeld erbeutet, bevor sie sich später auf Spionage verlegte. Heute interessieren sich die Angreifer anscheinend für industriell nutzbare Klebstoffe. Aber das kann sich jederzeit ändern: auch Hotels gehören zu den Zielen, und die stellen in der Regel keinen Klebstoff her.

Wenn Sie Ihr eigenes Netz auf Winnti-Befall prüfen möchten, können Sie das mit dem Nmap-Script des ThyssenKrupp-CERT tun

. Findet das Script Winnti-Dateien, können Sie diese mit dem Skript von Moritz Contag analysieren

. Und falls Sie das nicht selbst tun wollen, helfen wir Ihnen gerne weiter.

Link: Angriff auf das Herz der deutschen Industrie