"Wem die Information gehört, dem gehört die Welt": Dieses Zitat des deutsch-britischen Bankiers Nathan Mayer Rothschild († 1836) prangt auf der Startseite der illegalen Darknet-Plattform "Industrial Spy", wo gestohlene Daten zum Verkauf angeboten werdenBild: screenshot / watson.ch
Analyse
Über eine illegale Website namens "Industrial Spy" sollen mehr als 300 GB an internen und vertraulichen Daten einer bekannten Forschungseinrichtung verkauft werden, wie watson-Recherchen zeigen. Und es gibt noch mehr Betroffene.
Daniel Schurter / watson.ch
Unbekannte haben eine renommierte deutsche Forschungseinrichtung gehackt und dabei wertvolle digitale Dokumente erbeutet. Diese werden nun über einen neuen Untergrund-Marktplatz namens "Industrial Spy" angeboten.
Betroffen ist das Fraunhofer-Institut für Mikrostruktur von Werkstoffen und Systemen (IMWS), wie Recherchen von watson zeigen. Tatsächlich häuften sich in letzter Zeit die Anzeichen für Industriespionage übers Internet, wie der IT-Sicherheitsexperte Mathias Fuchs auf Anfrage sagt.
Was ist passiert?
Unbekannte Kriminelle wollen in einer noch zwei Tage laufenden Auktion über 320 Gigabyte (GB) an gestohlenen Daten an einen exklusiven Käufer im Darknet verkaufen. Dafür verlangen sie die stolze Summe von 2.2 Millionen US-Dollar.
Zum Inhalt der angeblich bei einem Fraunhofer-Forschungsinstitut gestohlenen Dateien ist wenig bekannt. Der Kaufpreis beträgt 2,2 Millionen Dollar in Bitcoin.Bild: Screenshot / watson.ch
Dabei dürfte es sich mit an Sicherheit grenzender Wahrscheinlichkeit um Dateien handeln, die dem Fraunhofer-Institut für Mikrostruktur von Werkstoffen und Systemen (IMWS) bei einem Hackerangriff im April gestohlen wurden.
Auf der Darknet-Seite zum illegalen Angebot, die watson am Dienstag einsehen konnte, heißt es:
"Verschiedene Technologien wurden heruntergeladen, ebenso wie persönliche Informationen über Mitarbeiter und Studenten."
quelle: darknet
Weiter heißt es auf der Industrial-Spy-Seite, die entsprechende Attacke habe am 14. April stattgefunden.
Wie reagiert Fraunhofer?
Mediensprecher Roman Möhlmann bestätigte am Dienstagabend in einer schriftlichen Stellungnahme, dass das Fraunhofer-Institut für Mikrostruktur von Werkstoffen und Systemen IMWS in der ostdeutschen Stadt Halle "kürzlich" das Ziel "einer begrenzten Cyberattacke" geworden sei.
"Alle Systeme vor Ort wurden umgehend vorsorglich vom Netz genommen und heruntergefahren. Fraunhofer hat auf den Vorfall bereits umfassend reagiert und Vorkehrungen zur maximalen Schadensbegrenzung getroffen, die Lage ist unter Kontrolle. Es handelt sich nach derzeitigen Erkenntnissen um einen lokalen Vorfall, der allein das Fraunhofer IMWS betrifft."
Mit den zuständigen Sicherheitsbehörden arbeite Fraunhofer eng zusammen. Auch eigene Forschungsinstitute würden sich mit ihrer Fachexpertise einbringen, so der Sprecher. Parallel werde die Arbeitsfähigkeit des Instituts sowie aller betroffenen Mitarbeitenden wiederhergestellt.
Wer ist für den Hackerangriff verantwortlich?
Das ist nicht bekannt.
"Wir bitten um Verständnis dafür, dass wir uns – auch aus ermittlungstaktischen Gründen – zu weiteren Hintergründen und Sachständen erst äußern können, wenn der Vorfall vollumfänglich aufgeklärt ist."
Roman Möhlmann, Fraunhofer-Gesellschaft
Wir wissen also nicht, ob es sich um den Angriff einer herkömmlichen Ransomware-Bande handelt, oder die Tat einer auf Industriespionage spezialisierten Hackergruppe.
Attraktives Ziel
Die Fraunhofer-Gesellschaft hat ihren Sitz in Deutschland und ist
laut eigenen Angaben die weltweit führende Organisation für anwendungsorientierte Forschung. Auf der eigenen Website heißt es, man fokussiere sich "auf zukunftsrelevante Schlüsseltechnologien sowie auf die Verwertung der Ergebnisse in Wirtschaft und Industrie".
Die 1949 gegründete Organisation betreibt derzeit 76 Institute und Forschungseinrichtungen und beschäftigt mehr als 30.000 Mitarbeitende, überwiegend mit natur- oder ingenieurwissenschaftlicher Ausbildung. Das jährlich erarbeitete Forschungsvolumen betrage 2.9 Milliarden Euro.
Was macht "Industrial Spy" so gefährlich?
Die über die Anonymisierungs-Software Tor erreichbare Darknet-Seite Industrial Spy wurde erst vor wenigen Wochen lanciert. Mitte April berichtete "Bleeping Computer" über den neuen Marktplatz, der gestohlene Daten von gehackten Unternehmen verkaufen will und registrierten Mitgliedern ältere gestohlene Daten auch kostenlos anbietet.
Die unbekannten Hintermänner betreiben nebenbei auch einen Telegram-Kanal, um für ihre Darknet-Plattform und den Verkauf der gestohlenen Daten zu werben. Ein gleichnamiges Twitter-Profil wurde bereits von Twitter gesperrt.
Im Telegram-Kanal heißt es zu Industrial Spy:
"Dort können Sie kostenlos private und kompromittierende Daten Ihrer Konkurrenten kaufen oder herunterladen. Wir veröffentlichen Pläne, Zeichnungen, Technologien, politische und militärische Geheimnisse, Abrechnungsberichte und Kundendatenbanken."
quelle: telegram
Die Plattform-Betreiber schreiben unverblümt, dass sie mit ihrer Seite Industriespionage ermöglicht wollen. Käufer der Datensätze sollen die Konkurrenz austricksen können.
"Mit unseren Informationen können Sie eine Partnerschaft mit skrupellosen Partnern ablehnen, schmutzige Geheimnisse Ihrer Konkurrenten und Feinde aufdecken und mit Insiderinformationen Millionen von Dollar verdienen."
Wie die Betreiber von Industrial Spy an die gestohlenen Daten gelangen, ist nicht restlos geklärt. Sie behaupten, sie würden Schwachstellen in der IT-Infrastruktur von multinationalen Konzernen und Organisationen ausnutzen.
Laut dem damaligen Bericht von Bleeping Computer wäre es nicht verwunderlich, wenn Kriminelle den Marktplatz nutzten, um die Opfer zum Rückkauf von gestohlenen Daten zu nötigen. Sprich: Betroffene sollen unter Druck gesetzt werden, weil sie befürchten müssen, dass ihre wertvollen Dokumente sonst Drittpersonen in die Hände fallen. Ein ähnliches Vorgehen durch Ransomware-Banden wird als "Double Extortion" – also doppelte Erpressung – bezeichnet.
Wer steckt hinter "Industrial Spy"?
Das ist nicht bekannt.
Ein Sicherheitsforscher berichtete Ende April bei Twitter, er habe auf der Darknet-Seite eine Antwort auf Kyrillisch erhalten, als er die Online-Registrierung (falsch) ausfüllte.
BleepingComputer erfuhr zuerst von unabhängigen Sicherheitsforschern vom "MalwareHunterTeam", dass die Betreiber auf ungewöhnliche Weise für ihre Darknet-Plattform zu werben versuchten. Über Webseiten mit dubiosen Software-Angeboten (Adware- und Cracker-Seiten) wurden ausführbare Malware-Dateien verbreitet. Wenn PC-User auf ihrem Gerät die heruntergeladene Datei öffneten, wurde automatisch eine "README.txt"-Dateien erstellt, in der auf Industrial Spy hingewiesen, respektive für die Seite geworben wurde.
Dies weist laut Sicherheitsforschern darauf hin, dass die Betreiber der "Industrial Spy"-Website wahrscheinlich mit Adware- und Crack-Distributoren zusammenarbeiten.
Bleeping Computer berichtete, es würden beispielsweise die "STOP"-Ransomware sowie passwortstehlende Trojaner zusammen mit den "Industrial Spy"-Dateien installiert.
Zeitlicher Zufall? In einem am Montag bei swisscybersecurity.net publizierten Artikel wurde der IT-Sicherheitsexperte Mathias Fuchs mit dem aufschlussreichen Satz zitiert, es häuften sich derzeit "die Anzeichen für Industriespionage".
Auf Nachfrage von watson erklärt der Sicherheitsforscher, der beim Schweizer Cybersecurity-Unternehmen Infoguard den Titel "Head of Investigations & Intelligence" trägt, dass in den vergangenen Monaten vermehrte Aktivitäten nordkoreanischer Hacker registriert wurden. Und er betont, Industriespionage sei grundsätzlich schwerer zu erkennen und zu bekämpfen als die klassischen Ransomware-Angriffe. Dies, weil es nicht zu einer Verschlüsselung komme.
Weiter betont Fuchs, dass die Nordkoreaner mit der Industrial-Spy-Plattform nicht in Verbindung gebracht werden können und sich lediglich die Vorgehensweisen im Speziellen auch in Bezug auf aggressive Exfiltration mit Ransomware-Gruppen überschneiden würden.
"Die Nordkoreaner wollten schon immer direkt Geld machen", erklärt der InfoGuard-Fachmann, aktuell seien die "Kommerzialisierungswege" ihrer Hacks wohl indirekter. "Wir wissen nicht, wer ihre Abnehmer sind", so Fuchs.
Wer ist sonst noch bei "Industrial Spy" aufgelistet?
Wie oben erwähnt, wurde der Darknet-Marktplatz erst vor wenigen Wochen lanciert. Die Liste der Opfer umfasst multinationale Unternehmen und Organisationen aus zahlreichen Ländern in Europa, Amerika und Asien. Darunter:
- KSB (Deutschland/Frankreich)
- APSM Systems (USA)
- Enviroplas (USA)
- MEIJI Corporation (USA)
- Avion Tech (Kanada)
- MDIndia Insurance (Indien)
- Network Contacts (Italien)
- IAR Systems (Schweden)
- IN2 (Grossbritannien)
- Wenco (Chile)
- etc.
Einige der betroffenen Unternehmen, deren Dateien bei Industrial Spy einzeln verkauft werden, stammen erwiesenermaßen aus früheren Ransomware-Attacken. So etwa gut 200 GB der Labordiagnostik-Marktführerin DiaSorin, die 2021 über eine "Leak Site" im Darknet veröffentlicht wurden.
Eine Ransomware-Attacke vermutet auch der deutsche Pumpen- und Armaturenhersteller KSB – das neuste, am Dienstag bei Industrial Spy hinzugefügte Opfer.
Einzelne Dateien werden für 2 Dollar verkauft.Bild: Screenshot / watson.ch
Im vergangenen Jahr sei das Unternehmen in einem europäischen Land schon einmal Ziel einer Cyberattacke gewesen, berichtete heise.de. Jenen Vorfall habe der Hersteller erfolgreich bewältigt. Nun scheint der Datenverlust allerdings beträchtlich zu sein: Auf dem Darknet-Marketplatz werden insgesamt 46 GB an internen Dokumenten zum Kauf angeboten. In ersten Stellungnahmen hatte das Unternehmen noch verlauten lassen, es seien keine Kundendaten abgeflossen.
Industrial Spy sorgt wahrscheinlich für weitere Schlagzeilen. In den kommenden Wochen werden Cybersecurity-Fachleute genau verfolgen, welche Opfer neu hinzukommen.
Insider-Informationen?
watson.ch-Redaktor Daniel Schurter ist über die verschlüsselte Schweizer Messenger-App Threema auch anonym zu erreichen. Seine "Threema ID" lautet: ACYMFHZX. Oder du schreibst an daniel.schurter [at] protonmail.com. Wer sich beim Schweizer Secure-Mail-Anbieter (kostenlos) registriert, kann verschlüsselte E-Mails verschicken.
Quellen