Digital
Schweiz

Fraunhofer-Institut gehackt – Kriminelle verlangen 2 Mio. im Darknet

«Wem die Information gehört, dem gehört die Welt»: Dieses Zitat des deutsch-britischen Bankiers Nathan Mayer Rothschild († 1836) prangt auf der Startseite der illegalen Darknet-Plattform «Industrial S ...
«Wem die Information gehört, dem gehört die Welt»: Dieses Zitat des deutsch-britischen Bankiers Nathan Mayer Rothschild († 1836) prangt auf der Startseite der illegalen Darknet-Plattform «Industrial Spy», wo gestohlene Daten zum Verkauf angeboten werden.

Fraunhofer-Institut gehackt – Kriminelle bieten Daten für 2 Millionen im Darknet an

Über eine illegale Website namens «Industrial Spy» sollen mehr als 300 GB an internen und vertraulichen Daten einer bekannten Forschungseinrichtung verkauft werden, wie watson-Recherchen zeigen. Und es gibt noch mehr Betroffene.
04.05.2022, 07:0105.05.2022, 08:45
Mehr «Digital»

Unbekannte haben eine renommierte deutsche Forschungseinrichtung gehackt und dabei wertvolle digitale Dokumente erbeutet. Diese werden nun über einen neuen Untergrund-Marktplatz namens «Industrial Spy» angeboten.

Betroffen ist das Fraunhofer-Institut für Mikrostruktur von Werkstoffen und Systemen (IMWS), wie Recherchen von watson zeigen. Tatsächlich häuften sich in letzter Zeit die Anzeichen für Industriespionage übers Internet, wie der IT-Sicherheitsexperte Mathias Fuchs auf Anfrage sagt.

Was ist passiert?

Unbekannte Kriminelle wollen in einer noch zwei Tage laufenden Auktion über 320 Gigabyte (GB) an gestohlenen Daten an einen exklusiven Käufer im Darknet verkaufen. Dafür verlangen sie die stolze Summe von 2,2 Millionen US-Dollar.

Zum Inhalt der angeblich bei einem Fraunhofer-Forschungsinstitut gestohlenen Dateien ist wenig bekannt. Der Kaufpreis beträgt 2,2 Millionen in Bitcoin.
Zum Inhalt der angeblich bei einem Fraunhofer-Forschungsinstitut gestohlenen Dateien ist wenig bekannt. Der Kaufpreis beträgt 2,2 Millionen in Bitcoin.screenshot: watson

Dabei dürfte es sich mit an Sicherheit grenzender Wahrscheinlichkeit um Dateien handeln, die dem Fraunhofer-Institut für Mikrostruktur von Werkstoffen und Systemen (IMWS) bei einem Hackerangriff im April gestohlen wurden.

Auf der Darknet-Seite zum illegalen Angebot, die watson am Dienstag einsehen konnte, heisst es:

«Verschiedene Technologien wurden heruntergeladen, ebenso wie persönliche Informationen über Mitarbeiter und Studenten.»
quelle: darknet

Weiter heisst es auf der Industrial-Spy-Seite, die entsprechende Attacke habe am 14. April stattgefunden.

Wie reagiert Fraunhofer?

Mediensprecher Roman Möhlmann bestätigte am Dienstagabend in einer schriftlichen Stellungnahme, dass das Fraunhofer-Institut für Mikrostruktur von Werkstoffen und Systemen IMWS in der ostdeutschen Stadt Halle «kürzlich» das Ziel «einer begrenzten Cyberattacke» geworden sei.

«Alle Systeme vor Ort wurden umgehend vorsorglich vom Netz genommen und heruntergefahren. Fraunhofer hat auf den Vorfall bereits umfassend reagiert und Vorkehrungen zur maximalen Schadensbegrenzung getroffen, die Lage ist unter Kontrolle. Es handelt sich nach derzeitigen Erkenntnissen um einen lokalen Vorfall, der allein das Fraunhofer IMWS betrifft.»

Mit den zuständigen Sicherheitsbehörden arbeite Fraunhofer eng zusammen. Auch eigene Forschungsinstitute würden sich mit ihrer Fachexpertise einbringen, so der Sprecher. Parallel werde die Arbeitsfähigkeit des Instituts sowie aller betroffenen Mitarbeitenden wiederhergestellt.

Wer ist für den Hackerangriff verantwortlich?

Das ist nicht bekannt.

«Wir bitten um Verständnis dafür, dass wir uns – auch aus ermittlungstaktischen Gründen – zu weiteren Hintergründen und Sachständen erst äussern können, wenn der Vorfall vollumfänglich aufgeklärt ist.»
Roman Möhlmann, Fraunhofer-Gesellschaft

Wir wissen also nicht, ob es sich um den Angriff einer herkömmlichen Ransomware-Bande handelt oder die Tat einer auf Industriespionage spezialisierten Hackergruppe.

Attraktives Ziel
Die Fraunhofer-Gesellschaft hat ihren Sitz in Deutschland und ist laut eigenen Angaben die weltweit führende Organisation für anwendungsorientierte Forschung. Auf der eigenen Website heisst es, man fokussiere sich «auf zukunftsrelevante Schlüsseltechnologien sowie auf die Verwertung der Ergebnisse in Wirtschaft und Industrie».

Die 1949 gegründete Organisation betreibt derzeit 76 Institute und Forschungseinrichtungen und beschäftigt mehr als 30'000 Mitarbeitende, überwiegend mit natur- oder ingenieurwissenschaftlicher Ausbildung. Das jährlich erarbeitete Forschungsvolumen betrage 2,9 Milliarden Euro.

Was macht «Industrial Spy» so gefährlich?

Die über die Anonymisierungssoftware Tor erreichbare Darknet-Seite Industrial Spy wurde erst vor wenigen Wochen lanciert. Mitte April berichtete «Bleeping Computer» über den neuen Marktplatz, der gestohlene Daten von gehackten Unternehmen verkaufen will und registrierten Mitgliedern ältere gestohlene Daten auch kostenlos anbietet.

Die Anbieter versuchen, wertvolle Datensätze zunächst exklusiv zu verkaufen. Wenn das nicht klappt, bieten sie die gestohlenen Dateien einzeln zum Download an.
Die Anbieter versuchen, wertvolle Datensätze zunächst exklusiv zu verkaufen. Wenn das nicht klappt, bieten sie die gestohlenen Dateien einzeln zum Download an.bild: watson

Die unbekannten Hintermänner betreiben nebenbei auch einen Telegram-Kanal, um für ihre Darknet-Plattform und den Verkauf der gestohlenen Daten zu werben. Ein gleichnamiges Twitter-Profil wurde bereits von Twitter gesperrt.

Im Telegram-Kanal heisst es zu Industrial Spy:

«Dort können Sie kostenlos private und kompromittierende Daten Ihrer Konkurrenten kaufen oder herunterladen. Wir veröffentlichen Pläne, Zeichnungen, Technologien, politische und militärische Geheimnisse, Abrechnungsberichte und Kundendatenbanken.»
quelle: telegram

Die Plattform-Betreiber schreiben unverblümt, dass sie mit ihrer Seite Industriespionage ermöglichen wollen. Käufer der Datensätze sollen die Konkurrenz austricksen können.

«Mit unseren Informationen können Sie eine Partnerschaft mit skrupellosen Partnern ablehnen, schmutzige Geheimnisse Ihrer Konkurrenten und Feinde aufdecken und mit Insiderinformationen Millionen von Dollar verdienen.»

Wie die Betreiber von Industrial Spy an die gestohlenen Daten gelangen, ist nicht restlos geklärt. Sie behaupten, sie würden Schwachstellen in der IT-Infrastruktur von multinationalen Konzernen und Organisationen ausnutzen.

Laut dem damaligen Bericht von Bleeping Computer wäre es nicht verwunderlich, wenn Kriminelle den Marktplatz nutzten, um die Opfer zum Rückkauf von gestohlenen Daten zu nötigen. Sprich: Betroffene sollen unter Druck gesetzt werden, weil sie befürchten müssen, dass ihre wertvollen Dokumente sonst Drittpersonen in die Hände fallen. Ein ähnliches Vorgehen durch Ransomware-Banden wird als «Double Extortion» – also doppelte Erpressung – bezeichnet.

Wer steckt hinter «Industrial Spy»?

Das ist nicht bekannt.

Ein Sicherheitsforscher berichtete Ende April bei Twitter, er habe auf der Darknet-Seite eine Antwort auf Kyrillisch erhalten, als er die Online-Registrierung (falsch) ausfüllte.

Offenbar gab der Sicherheitsforscher bei der Anmeldung etwas Unpassendes ein, worauf er die kyrillische System-Meldung erhielt, dass das «Login» nur Zahlen, lateinische Zeichen und Symbole enthalten d ...
Offenbar gab der Sicherheitsforscher bei der Anmeldung etwas Unpassendes ein, worauf er die kyrillische System-Meldung erhielt, dass das «Login» nur Zahlen, lateinische Zeichen und Symbole enthalten dürfe. Google Translate erkennt die Zeichen (oben) als Russisch. screenshot: twitter

BleepingComputer erfuhr zuerst von unabhängigen Sicherheitsforschern vom «MalwareHunterTeam», dass die Betreiber auf ungewöhnliche Weise für ihre Darknet-Plattform zu werben versuchten. Über Webseiten mit dubiosen Software-Angeboten (Adware- und Cracker-Seiten) wurden ausführbare Malware-Dateien verbreitet. Wenn PC-User auf ihrem Gerät die heruntergeladene Datei öffneten, wurde automatisch eine «README.txt»-Dateien erstellt, in der auf Industrial Spy hingewiesen respektive für die Seite geworben wurde.*

Dies weist laut Sicherheitsforschern darauf hin, dass die Betreiber der «Industrial Spy»-Website wahrscheinlich mit Adware- und Crack-Distributoren zusammenarbeiten.

Bleeping Computer berichtete, es würden beispielsweise die «STOP»-Ransomware sowie passwortstehlende Trojaner zusammen mit den «Industrial Spy»-Dateien installiert.

* Die gleiche Nachricht findet sich im Telegram-Kanal, der am 15. April 2022 in Betrieb genommen wurde (siehe oben).

Wenn «Datenpakete» nach 7 Tagen keinen exklusiven Abnehmer gefunden haben, werden sie günstiger angeboten – und schliesslich gratis verfügbar gemacht.
Wenn «Datenpakete» nach 7 Tagen keinen exklusiven Abnehmer gefunden haben, werden sie günstiger angeboten – und schliesslich gratis verfügbar gemacht.screenshot: watson

Zeitlicher Zufall? In einem am Montag bei swisscybersecurity.net publizierten Artikel wurde der IT-Sicherheitsexperte Mathias Fuchs mit dem aufschlussreichen Satz zitiert, es häuften sich derzeit «die Anzeichen für Industriespionage».

Auf Nachfrage von watson erklärt der Sicherheitsforscher, der beim Schweizer Cybersecurity-Unternehmen InfoGuard den Titel «Head of Investigations & Intelligence» trägt, dass in den vergangenen Monaten vermehrte Aktivitäten nordkoreanischer Hacker registriert wurden. Und er betont, Industriespionage sei grundsätzlich schwerer zu erkennen und zu bekämpfen als die klassischen Ransomware-Angriffe. Dies, weil es nicht zu einer Verschlüsselung komme.

Weiter betont Fuchs, dass die Nordkoreaner mit der Industrial-Spy-Plattform nicht in Verbindung gebracht werden können und sich lediglich die Vorgehensweisen im Speziellen auch in Bezug auf aggressive Exfiltration mit Ransomware-Gruppen überschneiden würden.

«Die Nordkoreaner wollten schon immer direkt Geld machen», erklärt der InfoGuard-Fachmann, aktuell seien die «Kommerzialisierungswege» ihrer Hacks wohl indirekter. «Wir wissen nicht, wer ihre Abnehmer sind», so Fuchs.

Wer ist sonst noch bei «Industrial Spy» aufgelistet?

Wie oben erwähnt, wurde der Darknet-Marktplatz erst vor wenigen Wochen lanciert. Die Liste der Opfer umfasst multinationale Unternehmen und Organisationen aus zahlreichen Ländern in Europa, Amerika und Asien. Darunter:

  • KSB (Deutschland/Frankreich)
  • APSM Systems (USA)
  • Enviroplas (USA)
  • MEIJI Corporation (USA)
  • Avion Tech (Kanada)
  • MDIndia Insurance (Indien)
  • Network Contacts (Italien)
  • IAR Systems (Schweden)
  • IN2 (Grossbritannien)
  • Wenco (Chile)
  • etc.

Einige der betroffenen Unternehmen, deren Dateien bei Industrial Spy einzeln verkauft werden, stammen erwiesenermassen aus früheren Ransomware-Attacken. So etwa gut 200 GB der Labordiagnostik-Marktführerin DiaSorin, die 2021 über eine «Leak Site» im Darknet veröffentlicht wurden.

Eine Ransomware-Attacke vermutet auch der deutsche Pumpen- und Armaturenhersteller KSB – das neuste, am Dienstag bei Industrial Spy hinzugefügte Opfer.

Einzelne Dateien werden für 2 Dollar verkauft.
Einzelne Dateien werden für 2 Dollar verkauft.screenshot: watson

Im vergangenen Jahr sei das Unternehmen in einem europäischen Land schon einmal Ziel einer Cyberattacke gewesen, berichtete heise.de. Jenen Vorfall habe der Hersteller erfolgreich bewältigt. Nun scheint der Datenverlust allerdings beträchtlich zu sein: Auf dem Darknet-Marktplatz werden insgesamt 46 GB an internen Dokumenten zum Kauf angeboten. In ersten Stellungnahmen hatte das Unternehmen noch verlauten lassen, es seien keine Kundendaten abgeflossen.

Industrial Spy sorgt wahrscheinlich für weitere Schlagzeilen. In den kommenden Wochen werden Cybersecurity-Fachleute genau verfolgen, welche Opfer neu hinzukommen.

Insider-Informationen?
watson-Redaktor Daniel Schurter ist über die verschlüsselte Schweizer Messenger-App Threema auch anonym zu erreichen. Seine «Threema ID» lautet: ACYMFHZX. Oder du schreibst an daniel.schurter [at] protonmail.com. Wer sich beim Schweizer Secure-Mail-Anbieter (kostenlos) registriert, kann verschlüsselte E-Mails verschicken.

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.
Nordkoreas berüchtigte Hacker – so arbeitet die Lazarus Group
1 / 24
Nordkoreas berüchtigte Hacker – so arbeitet die Lazarus Group
Die Lazarus Group schlägt weltweit zu...
Auf Facebook teilenAuf X teilen
Russland begeht grossflächige Cyberattacke
Video: srf
Das könnte dich auch noch interessieren:
Hast du technische Probleme?
Wir sind nur eine E-Mail entfernt. Schreib uns dein Problem einfach auf support@watson.ch und wir melden uns schnellstmöglich bei dir.
5 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
5
Russland brummt Google Strafe von 2 Sextillionen Rubel auf – aus Gründen
Die amerikanische Videoplattform YouTube wird in Russland geliebt und gehasst. Offenbar wartet in Moskau eine saftige Rechnung ...

Der Internet-Konzern Google hat in Russland Geldstrafen in Höhe von 2 Sextillionen Rubel angehäuft. Dies berichtet die russische Exil-Zeitung «The Moscow Times» und beruft sich auf einen russischen Medienbericht von dieser Woche.

Zur Story