Wer etwas mit den Impfstoffen gegen das Coronavirus zu tun hat, ist ein naheliegendes Ziel für staatlich unterstützte oder kriminelle Opfer, davor warnen Behörden und IT-Sicherheitsunternehmen seit Wochen oder gar Monaten. Erste Vorfälle sind auch schon bestätigt, etwa der Angriff auf die EU-Arzneimittelbehörde Ema, bei dem es zu einem »unrechtmäßigen Zugriff« auf Impfstoffdokumente von Biontech gekommen ist.

Die russische IT-Sicherheitsfirma Kaspersky gab am Mittwoch bekannt, man habe bereits im Herbst zwei erfolgreiche »Angriffe auf Einrichtungen identifiziert, die mit der Covid-19-Forschung in Verbindung stehen«. Es handele sich um ein Gesundheitsministerium sowie ein Pharmaunternehmen. Als Täter habe man »mit hoher Wahrscheinlichkeit« die nordkoreanische »Lazarus-Gruppe« ausgemacht, so Kaspersky. Jene Hackergruppierung wird unter anderem für den Sony-Hack 2014, für die Ransomware »WannaCry« und für den Diebstahl von Kryptowährungen verantwortlich gemacht.

Im nicht genannten Gesundheitsministerium sind demnach am 27. Oktober zwei Windows-Server »mit ausgefeilter Malware kompromittiert« worden. Es handele sich um die »bereits bekannte Malware WAgent«, teilte Kaspersky mit, und der Hack sei vergleichbar zu früheren Angriffen »auf Unternehmen im Kryptowährungssektor«, die der »Lazarus-Gruppe« zugeschrieben werden.

Bereits am 25. September wurde Kasperskys Telemetriedaten zufolge ein Pharmaunternehmen angegriffen. »Das Unternehmen entwickelt einen Covid-19-Impfstoff und hat bereits die Berechtigung erhalten, diesen zu produzieren und zu vertreiben«, heißt es in der Mitteilung von Kaspersky.

Um das Mainzer Unternehmen Biontech geht es jedoch nicht, wie eine Sprecherin dem SPIEGEL sagte. Der US-Anbieter Moderna hat auf eine Anfrage noch nicht geantwortet. Die anderen Hersteller, auf die Kasperskys Beschreibung zutrifft, sind die chinesischen Firmen Sinopharm und Sinovac, sowie Biontechs Partner Pfizer (USA) und Fosun Pharma (China). Der russische Impfstoff wurde von einer staatlichen Einrichtung entwickelt.

Im betroffenen Unternehmen wurde die Schadsoftware Bookcode eingesetzt, die, so schreibt es Kaspersky, »schon einmal mit Lazarus, im Rahmen eines Angriffs über die Lieferkette eines südkoreanischen Softwareunternehmens, in Verbindung stand«. Beide Schadprogramme seien vergleichbar mächtig und ermöglichten den Angreifern das Einschleusen weiterer Malware, um letztlich »den Computer des Opfers auf nahezu beliebige Weise steuern« zu können. Mithilfe von Bookcode hätten die Täter unter anderem Informationen zu Nutzern des befallenen Systems gesammelt und extrahiert.

»Diese beiden Vorfälle zeigen das Interesse von Lazarus an Informationen im Zusammenhang mit Covid-19«, zitiert Kaspersky seinen Sicherheitsexperten Seongsu Park. Und weiter: »Während die Gruppe bisher vor allem für ihre Aktivitäten im Finanzbereich bekannt ist, zeigt dies, dass auch strategische Forschung für sie Relevanz hat.«

spiegel

Tags: