Industriespionage Nitro-Hacker spähten Chemiefabriken aus

Virenjäger berichten von einem Schädling namens PoisonIvy, mit dem offenbar große Chemiekonzerne und Rüstungsunternehmen ausgespäht wurden. Bei ihrer Detektivarbeit stießen sie auf eine Kontaktperson in China - die sogar antwortete.
Chemiefabrik (Symbolbild): Schadsoftware aus dem Baukasten

Chemiefabrik (Symbolbild): Schadsoftware aus dem Baukasten

Foto: DPA

Berlin - Mit einem zielgerichteten, langfristigen Schadcode-Angriff auf internationale Rüstungs- und Chemiefirmen gelang es einem oder mehreren Angreifern, Design-Dokumente, Formeln und Informationen über Fertigungsprozesse zu stehlen. Die Sicherheitsfirma Symantec hat den Angriff aufgedeckt und stellvertretend für die ständig stattfindenden Know-How-Angriffe auf Firmen  analysiert: Die Nitro Attacken: Geheimnisse von der Chemieindustrie stehlen (PDF-Datei, 1,38 MB) .

Betroffen von dieser großangelegten Spionagekampagne waren vorwiegend große internationale Rüstungs- und Chemiefirmen und ihre Niederlassungen in den USA, in Bangladesch und Großbritannien. Drei infizierte Rechner standen auch in Deutschland - eine deutsche Firma war aber nicht unter den acht angegriffenen Organisationen. Symantec geht nicht davon aus, dass Firmen eines bestimmten Landes bevorzugt angegriffen wurden. Ins Ziel gerieten wohl Firmen, die entweder leichte Opfer abgaben oder bei denen der oder die Angreifer wertvolle Beute erwarteten.

Beunruhigend: Der Angriff, das geht aus der Analyse hervor, war nur Teil einer größer angelegten Kampagne gegen internationale Firmen und Menschenrechts-Organisationen. Der von Symantec analysierte Angriff geschah zwischen Ende Juli und Mitte September 2011, zuvor zielten der oder die Angreifer auf Menschenrechtsorganisationen und die Autoindustrie ab.

Wie gelang der Angriff? Der oder die Angreifer waren über die Angriffsziele informiert - das zeigen Hunderte zielgerichtete E-Mails, die den Sicherheitsexperten in die Falle gingen. Die E-Mails gaben sich als Geschäftskorrespondenz mit einem wichtigen Anhang aus. Wer diesen öffnete, infizierte sich mit dem PoisonIvy-Trojaner, über den der oder die Angreifer Daten kopieren und auf Server im Ausland transportieren konnten.

PoisonIvy ist kein neuer Supervirus vom Kaliber eines Stuxnet oder Duqu. Stattdessen wird PoisonIvy offen im Internet als Schadsoftware-Baukasten angeboten und gilt zwar als gefährlich - aber nicht als Programmier-Hexenwerk.

Wer steckt also hinter dem Angriff? Das ist vielleicht die spannendste Frage dieser Analyse: Den Symantec-Spezialisten gelang es den Angriff auf einen chinesischen Mann zurückzuführen, der sogar auf eine Kontaktaufnahme reagierte. Die Unterhaltung muss wenig aufschlussreich gewesen sein, der Symantec-Bericht hält fest: "Wir wissen nicht, ob 'Covert Grove' Einzeltäter ist und eine direkte oder indirekte Rolle spielte. Und wir wissen auch nicht, ob die Hackangriffe im Auftrag einer oder mehrerer anderer erfolgte." "Covert Grove" nennen die Autoren den Kontaktmann in Anlehnung an die Bedeutung seines chinesischen Namens.

Ob im Staats-, Firmen oder Privatauftrag, die Nitro-Attacken könnte also jeder ausgeführt haben: Ein Hacker-Söldner im Auftrag der Konkurrenz oder eines Staates oder jemand der seine Know-how-Funde höchstbietend verkaufen will, egal, an wen.