Indische Hacker sollen Wirecard-Kritiker ausgespäht haben

Auch die US-IT-Sicherheitsfirma Symantec, die nun unter der Marke NortonLifeLock firmiert, untersuchte die Aktivitäten der Hackergruppe und kam zu ähnlichen Schlussfolgerungen: Demnach seien sechs Finanzjournalisten Ziele der Spähattacke gewesen. „Die offensichtliche Verbindung zwischen diesen Journalisten waren vorangegangene Veröffentlichungen über Bilanzunregelmäßigkeiten bei einem deutschen Unternehmen.“

Die britische Zeitung „Financial Times“ hatte im vergangenen Jahr in mehreren Artikeln über Vorwürfe zu angeblichem Bilanzbetrug und dubiosen Geschäften bei Wirecard berichtet. In der Wirecard-Niederlassung in Singapur kam es zu einer Polizei-Razzia. Eine Sonderprüfung durch die Prüfungsgesellschaft KPMG, die der Aufsichtsrat des Konzerns in Auftrag gegeben hatte, konnte die Vorwürfe nicht vollständig ausräumen. Die deutsche Finanzaufsicht Bafin zeigte das Topmanagement von Wirecard Anfang Juni im Zusammenhang mit Ad-hoc-Mitteilungen wegen des Verdachts der Marktmanipulation an.

Auf Anfrage des Handelsblatts bestreitet Wirecard, etwas mit dem Spähangriff aus Indien zu tun zu haben. „Die Wirecard AG stand zu keinem Zeitpunkt in direktem oder indirektem Kontakt zu einer Hackergruppe aus Indien“, teilte eine Sprecherin mit.

Auch Kritiker anderer Unternehmen im Visier

Wirecard hatte im Dezember eingeräumt, im Jahr 2016 externe Ermittler beauftragt zu haben, die die „Drahtzieher krimineller Short-Attacken identifizieren“ sollten. Dem Konzern ging es dabei nach eigenen Angaben darum, die Urheber des sogenannten Zatarra-Berichts ausfindig zu machen. Der damals anonym veröffentlichte Bericht erhob schwere Vorwürfe gegen den Konzern und führte zu einem Kurseinbruch.

Wirecard teilte mit, dass das Unternehmen, das zur Untersuchung der Zatarra-Urheber beauftragt worden war, sich „bedauerlicherweise verselbstständigt und von sich aus Privatermittler für eine einmalige Beschattung beauftragt“ habe. „Wir haben niemanden beauftragt, Individuen untersuchen oder beschatten zu lassen“, erklärte der Konzern.

Inzwischen ist bekannt, dass die Investoren und Shortseller Fraser Perring und Matthew Earl für den Zatarra-Bericht verantwortlich waren. Auf Twitter schrieb Earl, er sei mehr als drei Jahre lang Ziel des von Citizen Lab aufgedeckten Spähangriffs gewesen. Der Report offenbare „illegale Spionagemethoden privater Unternehmen im Versuch, Kritiker mundtot zu machen“. Gegen die Verantwortlichen hinter Zatarra ermittelte die Münchener Staatsanwaltschaft wegen Kursmanipulation. Das Verfahren wurde im Mai dieses Jahres gegen die Zahlung eines fünfstelligen Euro-Betrags eingestellt.

Die indische Hackergruppe, deren Auftraggeber unbekannt sind, war laut NortonLifeLock seit mindestens 2013 tätig und führte Phishing-Attacken auch noch in diesem Jahr durch. Die Betroffenen bekamen dabei eine Reihe von Nachrichten zugeschickt, die sie dazu verleiten sollten, auf fingierten Webseiten ihre Log-in-Daten für Benutzerkonten etwa bei GMail oder Facebook einzugeben – um so den Hackern Zugriff zu den Konten zu ermöglichen.

Die Citizen-Lab-Forscher glauben, dass geleakte E-Mails, die in einem anonymen Bericht veröffentlicht worden waren, um den Zatarra-Bericht zu diskreditieren, ihren Ursprung in der Phishing-Attacke haben könnten. Es sei klar, dass die Hackergruppe zumindest mit einigen ihrer Phishing-Kampagnen erfolgreich war, urteilten die Forscher.

Die Hacker beschäftigten sich laut der Untersuchungen von Citizen Lab nicht nur mit Personen, die Verbindungen zum Fall Wirecard hatten. Mehrere Tausend Individuen seien im Visier der Gruppe gewesen, darunter auch amerikanische Non-Profit-Organisationen, die sich kritisch mit dem Ölkonzern Exxon Mobil auseinandergesetzt hatten. Die Vielzahl der Ziele zeige, dass Auftragshacker ein ernstes Problem für alle Teile der Gesellschaft seien, heißt es in dem Citizen-Lab-Report.

Ungeschickte Hacker

Den mutmaßlichen Auftragshackern aus Indien kamen die Forscher über Unachtsamkeiten bei den Spähangriffen auf die Spur. Der Quellcode der Phishing-Technik sei online einsehbar gewesen, genauso wie Log-Dateien der Angriffe. Dadurch habe sich eine Spur nach Indien ergeben. Eine E-Mail-Adresse, die zur Registrierung einer der fingierten Webseiten genutzt wurde, sei auch bei der Registrierung einer alten Firmenwebsite des verdächtigten Unternehmens verwendet worden.

Zudem habe eine Person, die sich als Mitarbeiter des indischen Unternehmens ausgab, vor Jahren in einem Blogpost Strategien hinter Phishing-Attacken erklärt und dabei auf Phishing-Webseiten verwiesen, die bei den nun bekannt gewordenen Angriffen verwendet wurden. Der Chef des Unternehmens war 2015 in den USA wegen des Vorwurfs eines Hackerangriffs angeklagt worden. 2017 erklärten die Behörden, der Mann sei auf der Flucht.

Die Nachrichtenagentur Reuters kontaktierte den Mann in Delhi. Er bestritt demnach die Vorwürfe, Konten gehackt zu haben, räumte aber ein, privaten Ermittlern beim Download von Nachrichten in E-Mail-Konten geholfen zu haben. Auf eine Anfrage des Handelsblatts reagierte das Unternehmen nicht, auch am Firmentelefon war am Mittwoch niemand zu erreichen. Die Webseite des Unternehmens war abgeschaltet. Noch vor Kurzem warb die Firma dort mit den Worten: „You desire, we do!“ – „Sie wünschen, wir handeln!“

Mehr: Strafanzeige, Razzia, Jahresbilanz – Wirecard steht unter Dauerstress