Nike untersucht einen möglichen Datenabfluss, nachdem die Erpressergruppe WorldLeaks behauptet hat, eine gewaltige Menge interner Daten des US-amerikanischen Sportartikelherstellers gestohlen und teilweise veröffentlicht zu haben. Bei dem Cyberangriff sollen persönliche und geschäftliche Daten entwendet worden sein.

„Wir nehmen den Schutz der Privatsphäre unserer Kunden und die Datensicherheit stets sehr ernst“, erklärte Nike am Montag in einer Stellungnahme. „Wir untersuchen einen möglichen Vorfall im Bereich der Cybersicherheit und bewerten die Situation aktiv.“

Die Cyberattacke war am 22. Januar bekannt geworden. Verantwortlich soll die Ransomware-Gruppe WorldLeaks sein. Diese betreibt gezielt Datendiebstahl mittels kompromittierter Webseiten, Phishing-Mails und ungesicherter VPN-Zugänge, um anschließend Unternehmen zu erpressen. Mehr als 100 Unternehmen sollen bereits Opfer der Gruppe geworden sein, darunter der Computerhersteller Dell. Die Gruppe soll eine Umbenennung von Hunters International sein, einer Ransomware-Bande, die seit 2023 aktiv ist.

Designprototypen kompromittiert?

World Leaks erklärte, 1,4 Terabyte (TB) an Daten im Zusammenhang mit den Geschäftsaktivitäten von Nike veröffentlicht zu haben. In einer Liste, die das Webportal The Register eingesehen hat, behauptet die Cybercrime-Gruppe, 188.347 Dateien aus den Systemen des Unternehmens gestohlen zu haben. Die veröffentlichten Dateinamen deuteten eher auf Design- und Fertigungsabläufe als auf Kundendatenbanken hin, so The Register weiter. Beispiele hierfür seien Verzeichnisse mit den Bezeichnungen „Women’s Sportswear“ (Sportbekleidung für Frauen), „Men’s Sportswear“ (Sportbekleidung für Männer), „Training Resource – Factory“ (Schulungsressourcen – Fabrik) und „Garment Making Process“ (Bekleidungsherstellungsprozess). Das deute auf Dateien aus den Bereichen Produktentwicklung und Produktionsprozesse hin. Bislang gibt es keine Anzeichen dafür, dass Kunden- oder Mitarbeiterdaten betroffen sind.

Allerdings verliert kein Unternehmen gern interne Informationen wie Designs, Schulungsunterlagen und Prozessdokumentationen. Laut dem Onlineportal it-daily befinden sich unter den gestohlenen Informationen Details zur geplanten SP27-Kollektion der Nike-Marke Jordan Brand. WorldLeaks erklärte demnach, Zugriff auf technische Produktspezifikationen, Materiallisten sowie Designentwürfe und Prototypen aus verschiedenen Produktzyklen erlangt zu haben. Zudem sollen sensible Informationen zur Fertigung kompromittiert worden sein, darunter Unterlagen zu Qualitätsprüfungen in Produktionsstätten, Angaben zu Zulieferern sowie Dokumentationen zu Herstellungsverfahren.

Sportartikelhersteller besonders vulnerabel

Laut The Register machen „die unübersichtlichen globalen Lieferketten und der stetige Strom neuer Designs, die zwischen den Partnern hin- und herwandern“, Mode- und Sportbekleidungsunternehmen zu einem beliebten Ziel für Cyberkriminelle. Diese müssten keine Kundendatenbanken erbeuten, um Schaden anzurichten.

Gerade erst ist ein anderes US-amerikanisches Sportbekleidungsunternehmen Opfer eines Cyberangriffs geworden. Eine Ransomware-Bande drang bei Under Armour ein und entwendete massenhaft Daten. In der vergangenen Woche tauchten 72,7 Millionen Datensätze bei Have I Been Pwned auf, darunter Namen, E-Mail-Adressen, Geburtsdaten, Geschlecht, geografische Standorte und Kaufinformationen.

(akn)

Am Montagmittag hat die EU-Kommission ein weiteres Verfahren gegen den Kurznachrichtendienst X eingeleitet. Dabei will sie prüfen, ob das eng mit dem KI-Chatbot Grok verzahnte soziale Netzwerk gegen den Digital Services Act (DSA) verstoßen hat. Der Kommission zufolge ist unklar, ob der Online-Dienst vor dem Ausrollen des Produkts damit verbundene Risiken untersucht hat.

Musks Plattform X ist mit dem integrierten KI-Chatbot zuletzt stark in die Kritik geraten, nachdem dieser auf Nachfrage von Nutzer*innen ungefiltert sexualisierte Bilder von Frauen und Kindern auf X veröffentlicht hat.

Nachdem X lange untätig blieb, hatte das Unternehmen am 9. Januar angekündigt, die Funktion zahlenden Nutzer*innen vorzubehalten. Am 14. Januar kündigte X dann weitere technische Maßnahmen an und schränkte die pornografische Bildgenerierungsfunktion nach eigenen Angaben für alle Nutzer*innen ein. Für andere Zwecke soll das Bildfeature jetzt nur noch zahlenden X-Nutzer*innen offen stehen.

Erst am vergangenen Dienstag hatte das EU-Parlament über KI-Deepfakes in sozialen Medien debattiert. Kurz danach haben mehr als fünfzig Abgeordnete in einem Brief die EU-Kommission zu konsequenterem Vorgehen im Falle Grok aufgefordert.

X muss Nachweise liefern

Nun muss die Plattform vor der EU-Kommission Rechenschaft ablegen, ob es der gesetzlich vorgeschriebenen Risikobewertung und -minderung nachgekommen ist. Solche Berichte sollen potenzielle „systemische Risiken“ aufdecken, die von Online-Diensten ausgehen können. Sollte X vor der Integration von Grok keine Folgenabschätzung vorgenommen haben, könnten auf X hohe Geldbußen zukommen.

Dass der Schaden bereits eingetreten ist, führte EU-Digitalkommissarin Henna Virkkunen aus: „Sexualisierte Deepfakes von Frauen und Kindern sind eine gewalttätige, inakzeptable Form der Entwürdigung. Mit dieser Untersuchung werden wir feststellen, ob X seinen gesetzlichen Verpflichtungen gemäß dem DSA nachgekommen ist oder ob es die Rechte europäischer Bürger – einschließlich der Rechte von Frauen und Kindern – als Kollateralschaden seines Dienstes behandelt hat.“

Die Einleitung solch eines Verfahrens ist noch kein Nachweis für einen Verstoß gegen den DSA. Allerdings befähigt es die Kommission zu weiteren Maßnahmen. Sie kann beispielsweise Unterlagen betroffener Unternehmen anfordern, Durchsuchungen vornehmen oder Mitarbeiter*innen befragen.

Neben dem neuen Verfahren hat die EU-Kommission angekündigt, eine seit Dezember 2023 laufende Untersuchung zu verlängern, die sich unter anderem auf die Moderationsfunktion, Maßnahmen gegen illegale Inhalte und Risiken des Empfehlungssystems bezieht. Das Verfahren umfasst zusätzlich die mangelnde Werbetransparenz von X. Dafür verhängte die EU-Kommission Anfang Dezember eine 120-Millionen-Euro-Geldbuße, da die Plattform Vorschriften nicht eingehalten hatte.

Sexualisierte Deepfakes im Millionenfachen

Inzwischen haben mehrere Organisationen die Tragweite der Vorfälle untersucht. Die britische NGO Center for Countering Digital Hate (CCDH) schätzt etwa, dass im Zeitraum vom 29. Dezember bis 8. Januar über 4 Millionen Bilder generiert wurden. Davon sollen rund 3 Millionen sexualisierter Art gewesen sein, auf rund 23.000 Bildern sollen Kinder dargestellt worden sein.

Die NGO AI Forensics kommt zu ähnlichen Ergebnissen. Bis zum 1. Januar waren mehr als die Hälfte der generierten Bilder sexualisierte Deepfakes. Nachdem X am 14. Januar technische Einschränkungen vorgenommen hatte, sei der Anteil sexualisierter Bilder auf unter 10 Prozent gefallen.

Nordkoreanische Cyberkriminelle haben es auf Entwickler mit Blockchain-Zugriff abgesehen. Mit Phishing-Attacken wollen sie diese zur Ausführung von Malware verleiten. Dabei soll Künstliche Intelligenz an der Programmierung der PowerShell-Backdoor mitgewirkt haben.

Das meldet das IT-Sicherheitsunternehmen Checkpoint in einer Analyse. Die kriminelle Vereinigung „Konni“ soll aus Nordkorea stammen oder mit dem Land verbandelt sein. Die Angriffsziele haben die Täter jedoch über ihren sonst üblichen Tätigkeitsbereich hinaus ausgeweitet – ursprünglich konzentrierten sie sich auf Südkorea, nun aber auf die ganze Asien-Pazifik-Region, einschließlich Australien, Indien und Japan.

Sie nehmen dabei Entwickler und Programmier-Teams in den Blick, insbesondere solche, die Zugriff auf mit Blockchain zusammenhängende Ressourcen und Infrastruktur haben. Die Köder-Dokumente sehen aus wie legitime Projektmaterialien und umfassen technische Details wie Architektur, Technik-Stacks und Entwicklungszeitpläne. Daraus leitet Checkpoint ab, dass die Angreifer die Entwicklungsumgebungen unterwandern und dadurch Zugang zu sensiblen Krypto-Assets sowie Infrastruktur, API-Zugangsdaten, Zugänge zu Wallets und schließlich Krypto-Besitztümer ergattern wollen.

KI zur Programmierung genutzt

Es gibt der Analyse zufolge starke Hinweise darauf, dass die Kriminellen sich von Künstlicher Intelligenz haben helfen lassen. Das PowerShell-Script mit der Backdoor weist demnach eine unüblich polierte Struktur auf. Sie fängt mit menschenlesbarer Dokumentation an, die die Script-Funktion erklärt: „This script ensures that only one instance of this UUID-based project runs at a time. It sends system info via HTTP GET every 13 minutes.“ Diese Ausführlichkeit der Dokumentation ist äußerst unüblich für PowerShell-Schadcode von APTs. Der Code ist zudem in klar definierte logische Sektionen eingeteilt, die jeweils eine spezifische Aufgabe erledigen, die eher modernen Konventionen der Softwareentwicklung entsprechen als spontaner Malware-Entwicklung.

Diese Indizien reichen noch nicht zur gesicherten KI-Zuordnung, jedoch soll ein Kommentar im Programmcode schließlich verräterisch sein: # <– your permanent project UUID. Diese Formulierung ist den IT-Forschern zufolge höchst charakteristisch für LLM-generierten Code, in dem das Modell den Menschen explizit anleitet, wie ein Platzhalterwert angepasst werden muss.

Im Artikel erklären die Checkpoint-Analysten noch detaillierter die Funktionen der Skripte und die Infektionsketten. Außerdem liefern sie eine Liste von Hinweisen auf eine Kompromittierung (Indicators of Compromise, IOCs).

(dmk)