Unbekannte haben eine renommierte deutsche Forschungseinrichtung gehackt und dabei wertvolle digitale Dokumente erbeutet. Diese werden nun über einen neuen Untergrund-Marktplatz namens «Industrial Spy» angeboten.
Betroffen ist das Fraunhofer-Institut für Mikrostruktur von Werkstoffen und Systemen (IMWS), wie Recherchen von watson zeigen. Tatsächlich häuften sich in letzter Zeit die Anzeichen für Industriespionage übers Internet, wie der IT-Sicherheitsexperte Mathias Fuchs auf Anfrage sagt.
Unbekannte Kriminelle wollen in einer noch zwei Tage laufenden Auktion über 320 Gigabyte (GB) an gestohlenen Daten an einen exklusiven Käufer im Darknet verkaufen. Dafür verlangen sie die stolze Summe von 2,2 Millionen US-Dollar.
Dabei dürfte es sich mit an Sicherheit grenzender Wahrscheinlichkeit um Dateien handeln, die dem Fraunhofer-Institut für Mikrostruktur von Werkstoffen und Systemen (IMWS) bei einem Hackerangriff im April gestohlen wurden.
Auf der Darknet-Seite zum illegalen Angebot, die watson am Dienstag einsehen konnte, heisst es:
Weiter heisst es auf der Industrial-Spy-Seite, die entsprechende Attacke habe am 14. April stattgefunden.
Mediensprecher Roman Möhlmann bestätigte am Dienstagabend in einer schriftlichen Stellungnahme, dass das Fraunhofer-Institut für Mikrostruktur von Werkstoffen und Systemen IMWS in der ostdeutschen Stadt Halle «kürzlich» das Ziel «einer begrenzten Cyberattacke» geworden sei.
Mit den zuständigen Sicherheitsbehörden arbeite Fraunhofer eng zusammen. Auch eigene Forschungsinstitute würden sich mit ihrer Fachexpertise einbringen, so der Sprecher. Parallel werde die Arbeitsfähigkeit des Instituts sowie aller betroffenen Mitarbeitenden wiederhergestellt.
Das ist nicht bekannt.
Wir wissen also nicht, ob es sich um den Angriff einer herkömmlichen Ransomware-Bande handelt oder die Tat einer auf Industriespionage spezialisierten Hackergruppe.
Die über die Anonymisierungssoftware Tor erreichbare Darknet-Seite Industrial Spy wurde erst vor wenigen Wochen lanciert. Mitte April berichtete «Bleeping Computer» über den neuen Marktplatz, der gestohlene Daten von gehackten Unternehmen verkaufen will und registrierten Mitgliedern ältere gestohlene Daten auch kostenlos anbietet.
Die unbekannten Hintermänner betreiben nebenbei auch einen Telegram-Kanal, um für ihre Darknet-Plattform und den Verkauf der gestohlenen Daten zu werben. Ein gleichnamiges Twitter-Profil wurde bereits von Twitter gesperrt.
Im Telegram-Kanal heisst es zu Industrial Spy:
Die Plattform-Betreiber schreiben unverblümt, dass sie mit ihrer Seite Industriespionage ermöglichen wollen. Käufer der Datensätze sollen die Konkurrenz austricksen können.
Wie die Betreiber von Industrial Spy an die gestohlenen Daten gelangen, ist nicht restlos geklärt. Sie behaupten, sie würden Schwachstellen in der IT-Infrastruktur von multinationalen Konzernen und Organisationen ausnutzen.
Laut dem damaligen Bericht von Bleeping Computer wäre es nicht verwunderlich, wenn Kriminelle den Marktplatz nutzten, um die Opfer zum Rückkauf von gestohlenen Daten zu nötigen. Sprich: Betroffene sollen unter Druck gesetzt werden, weil sie befürchten müssen, dass ihre wertvollen Dokumente sonst Drittpersonen in die Hände fallen. Ein ähnliches Vorgehen durch Ransomware-Banden wird als «Double Extortion» – also doppelte Erpressung – bezeichnet.
Das ist nicht bekannt.
Ein Sicherheitsforscher berichtete Ende April bei Twitter, er habe auf der Darknet-Seite eine Antwort auf Kyrillisch erhalten, als er die Online-Registrierung (falsch) ausfüllte.
BleepingComputer erfuhr zuerst von unabhängigen Sicherheitsforschern vom «MalwareHunterTeam», dass die Betreiber auf ungewöhnliche Weise für ihre Darknet-Plattform zu werben versuchten. Über Webseiten mit dubiosen Software-Angeboten (Adware- und Cracker-Seiten) wurden ausführbare Malware-Dateien verbreitet. Wenn PC-User auf ihrem Gerät die heruntergeladene Datei öffneten, wurde automatisch eine «README.txt»-Dateien erstellt, in der auf Industrial Spy hingewiesen respektive für die Seite geworben wurde.*
Dies weist laut Sicherheitsforschern darauf hin, dass die Betreiber der «Industrial Spy»-Website wahrscheinlich mit Adware- und Crack-Distributoren zusammenarbeiten.
Bleeping Computer berichtete, es würden beispielsweise die «STOP»-Ransomware sowie passwortstehlende Trojaner zusammen mit den «Industrial Spy»-Dateien installiert.
* Die gleiche Nachricht findet sich im Telegram-Kanal, der am 15. April 2022 in Betrieb genommen wurde (siehe oben).
Zeitlicher Zufall? In einem am Montag bei swisscybersecurity.net publizierten Artikel wurde der IT-Sicherheitsexperte Mathias Fuchs mit dem aufschlussreichen Satz zitiert, es häuften sich derzeit «die Anzeichen für Industriespionage».
Auf Nachfrage von watson erklärt der Sicherheitsforscher, der beim Schweizer Cybersecurity-Unternehmen InfoGuard den Titel «Head of Investigations & Intelligence» trägt, dass in den vergangenen Monaten vermehrte Aktivitäten nordkoreanischer Hacker registriert wurden. Und er betont, Industriespionage sei grundsätzlich schwerer zu erkennen und zu bekämpfen als die klassischen Ransomware-Angriffe. Dies, weil es nicht zu einer Verschlüsselung komme.
Weiter betont Fuchs, dass die Nordkoreaner mit der Industrial-Spy-Plattform nicht in Verbindung gebracht werden können und sich lediglich die Vorgehensweisen im Speziellen auch in Bezug auf aggressive Exfiltration mit Ransomware-Gruppen überschneiden würden.
«Die Nordkoreaner wollten schon immer direkt Geld machen», erklärt der InfoGuard-Fachmann, aktuell seien die «Kommerzialisierungswege» ihrer Hacks wohl indirekter. «Wir wissen nicht, wer ihre Abnehmer sind», so Fuchs.
Wie oben erwähnt, wurde der Darknet-Marktplatz erst vor wenigen Wochen lanciert. Die Liste der Opfer umfasst multinationale Unternehmen und Organisationen aus zahlreichen Ländern in Europa, Amerika und Asien. Darunter:
Einige der betroffenen Unternehmen, deren Dateien bei Industrial Spy einzeln verkauft werden, stammen erwiesenermassen aus früheren Ransomware-Attacken. So etwa gut 200 GB der Labordiagnostik-Marktführerin DiaSorin, die 2021 über eine «Leak Site» im Darknet veröffentlicht wurden.
Eine Ransomware-Attacke vermutet auch der deutsche Pumpen- und Armaturenhersteller KSB – das neuste, am Dienstag bei Industrial Spy hinzugefügte Opfer.
Im vergangenen Jahr sei das Unternehmen in einem europäischen Land schon einmal Ziel einer Cyberattacke gewesen, berichtete heise.de. Jenen Vorfall habe der Hersteller erfolgreich bewältigt. Nun scheint der Datenverlust allerdings beträchtlich zu sein: Auf dem Darknet-Marktplatz werden insgesamt 46 GB an internen Dokumenten zum Kauf angeboten. In ersten Stellungnahmen hatte das Unternehmen noch verlauten lassen, es seien keine Kundendaten abgeflossen.
Industrial Spy sorgt wahrscheinlich für weitere Schlagzeilen. In den kommenden Wochen werden Cybersecurity-Fachleute genau verfolgen, welche Opfer neu hinzukommen.