OceanLotus: Hacker im Netzwerk von BMW

Publiziert am 6. Dezember 2019 von Günter Born

[English]Hacker sind Anfang des Jahres erfolgreich in Rechner des Automobilherstellers BMW eingedrungen. Allerdings ist die Aktion aufgefallen und Sicherheitsexperten von BMW haben das Vorgehen beobachtet. Der infizierte Rechner wurde jetzt abgeschaltet, die Hacker wurden so ausgesperrt.

Anzeige

Die Hackergruppe OceanLotus, mutmaßlich aus Vietnam, hat die Automobilindustrie im Visier. Der Bayrische Rundfunk (BR) berichtet hier über den Vorfall bei BMW. Die Hackergruppe OceanLotus soll im Auftrag des Staates Vietnam unterwegs sein (näheres im Text).

Start der Operation im Frühjahr 2019

Laut Informationen des BR begann die Hackergruppe im Frühjahr 2019 mit Versuchen, die Netzwerke von BMW zu infiltrieren. Diese Versuche müssen aufgefallen sein, denn laut Berichterstattung verfolgten die IT-Spezialisten bei BMW die Schritte der Angreifer.

Obwohl BMW keine Details herausgibt, wurde bekannt, dass die Hacker einen bestimmten Rechner mit einem "Cobalt Strike" genannten Programm infizieren konnten. Der Autobauer hat den den oder die betroffenen Rechner letztes Wochenende vom Net genommen.

Cobalt Strike ist ein Framework, welches normalerweise von sogenannten Red-Teams für Penetrationstests verwendet wird. Das Framework ermöglicht Hacking-Kampagnen (z. B. zur Spionage), eins-zu-eins nachzustellen. Für jeden Abschnitt einer solchen Operation gibt es eigene Funktionen (z.B. Aufklärung der Netzwerkstruktur, Eindringen, Errichtens eines stabilen Zugangs, Abrufen von Daten etc.), die dynamisch konfiguriert werden können. Das Framework erlaubt Red-Teams die Durchführung von „Blind Network Penetration Tests", bei denen der Tester über keine oder nur geringe Informationen über das System und seine Struktur verfügt

Die verwendeten Tools haben bei BMW wohl einen Alarm bei der Netzwerküberwachung ausgelöst. BMW wird vom BR so zitiert: "Wir haben Strukturen und Prozesse implementiert, die das Risiko von unerlaubten externen Zugriffen auf unsere Systeme minimieren und uns im Ereignisfall eine schnelle Entdeckung, Aufklärung und Wiederherstellung ermöglichen."

Auch Hyundai über Fake-Webseiten im Fokus

Der südkoreanische Auto-Hersteller Hyundai stand ebenfalls im Fokus der Hacker, hat aber Anfragen des BR nicht beantwortet. Laut BR-Bericht haben die Angreifer gefälschte Webseiten der Automobilbauer aufgesetzt. Eine Seite erweckte den Eindruck, zur BMW-Niederlassung in Thailand zu gehören. Bei Hyundai gab es eine ähnliche Fake-Webseite.

Ziel war es, über diese Webseiten Informationen über das Angriffsziel herauszufinden und gegebenenfalls Anmeldedaten abzugreifen sowie weiter in das Netzwerk einzudringen. Da der Angriff auffiel, konnten die Sicherheitsspezialisten die Hacker beobachten. Laut Bericht des BR (als Quelle wird ein anonym bleiben wollender Sicherheitsexperte zitiert) wurde so sichergestellt, dass keine sensiblen Daten abfließen konnten. Den Hackern sei es, der Quelle zufolge, auch nicht gelungen, auf die Rechner der BMW-Unternehmenszentrale in München zuzugreifen.

Vermutungen über Urheber

Die Vermutung, dass die Hacker in Vietnam sitzen, ziehen die IT-Spezialisten aus deren Vorgehensweise. Diese entsprach dem, was von einer seit 2014 bekannten Hackergruppe mit dem Namen OceanLotus angewandt wird. Zitat von Dror-John Röcher, Deutsche Cybersicherheitsorganisation (DCSO):

Gesicherte Belege, dass die Gruppe im staatlichen Auftrag handelt, gibt es nicht. Wenn wir uns jedoch die Vorfälle anschauen und wenn wir die Ziele analysieren, dann gibt es starke Indizien, dass mindestens mit Billigung des vietnamesischen Staates agiert wird.

Daher ist es aktuell nur eine Vermutung, dass die Gruppe für den Staat Vietnam arbeitet. Zumindest gehen die Sicherheitsexperten davon aus, dass die Gruppe die Billigung des kommunistischen Regimes habe. Hintergrund könnte sein, dass der vietnamesische Mischkonzern Vingroup im Juni 2019 sein erstes Werk eröffnete, in dem Autos der Marke Vinfast gebaut werden. Deutsche Unternehmen sind Zulieferer, BMW ist Lizenzgeber der ersten beiden Modelle. Automatisierer Siemens ist für die Vernetzung der Fabrik zuständig.

Anzeige

Interessant ist auch folgende Information von Dror-John Röcher (DCSO):  "OceanLotus"griff über Jahre Dissidenten und Staaten, die Vietnam als Konkurrent sah, an. Als in Vietnam der Beschluss fiel, Autos zu bauen, begann die Gruppe plötzlich Auto-Hersteller anzugreifen. Inzwischen warnen das Bundesamt für Verfassungsschutz und der Verband der Automobilindustrie (VDA) die Firmen vor solchen Angriffen. Weitere Details finden sich im BR-Bericht.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu OceanLotus: Hacker im Netzwerk von BMW

  1. Die/Das/Der Gender-Krankheit*er sagt:
    6. Dezember 2019 um 16:18 Uhr

    BMW und Hyundai müssen sich mal das Bundes-Irrenhaus der Schweiz wenden, und dort nachfragen, wie man das E-Voting-System der Schweiz 100 % einbruchssicher machen konnte.
    Gemäss Angaben des Bundes-Irrenhauses ist das E-Voting-System der Schweiz 100 % sicher.

    Antworten

Schreibe einen Kommentar zu Die/Das/Der Gender-Krankheit*er Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.