Cyber-Attacke: OceanLotus-Hacker spionieren BMW aus

München -  Der Autohersteller BMW ist Opfer eines Hacker-Angriffs geworden. Bei den Angreifern soll es sich um die vietnamesische Gruppierung "OceanLotus" handeln. Das ergaben Recherchen des "BR" vom Freitag.

Schon im Frühjahr 2019 soll es demnach begonnen haben. Das Unternehmen nahm die betroffenen Rechner vergangenes Wochenende vom Netz, um den Angriff zu stoppen. Zuvor beobachteten IT-Experten von BMW das Vorgehen der Hacker, bevor sie deren Manöver abbrachen. Auch der südkoreanische Auto-Hersteller Hyundai soll im Visier der Kriminellen stehen.

Hacker kamen über eine Hintertür ins System

Die Hacker haben laut Bericht mit einem digitalen Werkzeug namens "Cobalt Strike" Zugriff auf die Rechner erlangt. Bei dem Tool handelt es sich eigentlich um eine Software, die Hackerangriffe simuliert und sie dadurch abwendbar macht. Vermutlich wurde dabei durch einen "Dropper" eine Lücke im Sicherheitssystem erzeugt, um dann eine sogenannte "Backdoor" zu platzieren.

So könnten die Hacker an die Daten gekommen sein. Außerdem sollen sie Fake-Webseiten erstellt haben, sowohl bei BMW als auch bei Hyundai. Das ermöglicht es den kriminellen IT-Spezialisten, sich auf den Rechnern auszubreiten und einen Überblick über die Nutzung zu verschaffen. Im Fall von BMW sollen aber keine sensiblen Daten zu den Hackern durchgedrungen sein. Auch im Münchner Firmensitz gelang dies offenbar nicht.

"OceanLotus" ist seit 2014 bekannt

Warum geht man von der Gruppe "OceanLotus" aus? Die Vorgehensweise und die verwendeten Tools deuten darauf hin. Bekannt ist die Gruppierung bereits seit 2014. Neben "OceanLotus" verwenden sie auch die Namen APT32 und APT-C-00. IT-Experten leiten aus der Vorgehensweise und dem Verhalten außerdem ab, dass die Cyber-Diebe von Vietnam aus arbeiten.

Vermutet wird sogar, dass "OceanLotus" für den südostasiatischen Staat spioniert. Das legte Dror-John Röcher von der IT-Sicherheitsfirma Deutsche Cybersicherheitsorganisation (DCSO) im BR nahe. Die vietnamesische Botschaft bezog zunächst keine Stellung dazu.

Mehrere Unternehmen mit Cyberangriffen

Röcher verwies außerdem auf einen möglichen Zusammenhang zur Eröffnung eines Auto-Herstellungswerks des vietnamesische Mischkonzern Vingroup im Juni. Es falle auf, dass "OceanLotus" genau dann anfing, Auto-Hersteller anzugreifen, als in Vietnam begonnen wurde, Autos zu bauen, so der IT-Experte zum BR.

Aktuell warnt auch das Bundesamt für Verfassungsschutz vor Cyberangriffen, da zuletzt Mitte 2019 deutsche DAX-Konzerne im Visier der professionellen Hacker-Gruppe "WinNTI" standen. Betroffen waren unter anderem Chemie-Riese Bayer, Siemens und Kunststoffhersteller Cavestro. Bei keinem Unternehmen sei es zu einer Datenübertragung gekommen.