WannaCry: Sony-Pictures-Hacker aus Nordkorea unter Verdacht

Sicherheitsforscher von Symantec und Kaspersky haben frühe Versionen des Erpressungstrojaners WannaCry untersucht und dabei Quellcode gefunden, der auch im Schadcode vorkam, der beim Hackerangriff auf Sony Pictures vor knapp drei Jahren verwendet wurde. Die Angreifer beim Sony-Hack – Kaspersky nennt die Gruppe "Lazarus" – sollen aus Nordkorea stammen. Davon geht auch die US-Regierung aus, obwohl diese Erkenntnisse nach wie vor von bekannten Sicherheitsforschern bestritten werden.

Angriff mit Krypto-Trojaner WannaCry

Es begann am Abend des 12. Mai 2017 mit Schreckensmeldungen aus Großbritannien: Der Krypto-Trojaner WannaCry verbreitete sich weltweit, legte hunderttausende nicht gepatchter oder veralteter Rechner lahm und richtete immensen Schaden an.

• WannaCry & Co.: So schützen Sie sich
• WannaCry: Was wir über die Ransomware-Attacke wissen
• WannaCry: Angriff mit Ransomware legt weltweit Zehntausende Rechner lahm
• Kommentar: Staatliche Dienste müssen Erkenntnisse teilen
• WannaCry: Gewaltiger Schaden, geringer Erlös
• WannaCry: Microsoft liefert Sicherheits-Patches für veraltete Windows-Versionen
• Ransomware WannaCry befällt Rechner der Deutschen Bahn
• Ransomware WannaCry: Sicherheitsexperte findet "Kill-Switch" – durch Zufall

Argumente für und wider staatliche Hacker

Im aktuellen Fall WannaCry spricht für staatliche Hacker aus Nordkorea, dass die weltweite Verbreitung und der geringe Erlös der Infektionen darauf hindeutet, dass der Schadcode eher darauf angelegt war, maximales Chaos zu erzeugen und weniger, Geld zu verdienen. Cyberkriminelle wollen in der Regel Geld verdienen, wobei es staatlichen Hackern wohl eher darauf ankommt, größtmögliche Verwirrung zu stiften. Auch die Tatsache, dass sowohl Europa als auch Russland, die USA und Asien betroffen sind, würde als Zielsetzung für nordkoreanische Angreifer passen.

Gegen professionelle staatliche Angreifer spricht die recht stümperhafte Umsetzung des Angriffs mit Notaus-URL, die nicht registriert war und deshalb von einem Sicherheitsforscher zur Eliminierung des Trojaners genutzt werden konnte. Auch das Wiederverwenden der Quellcode-Segmente könnte durchaus eine falsche Fährte sein, die der Entwickler von WannaCry gelegt hat, um von seiner wahren Identität abzulenken. So betonen auch die Forscher von Symantec und Kaspersky, dass es sich bei ihren Erkenntnissen bloß um Indizien handelt, die weit davon entfernt sind, beweiskräftig zu sein.

Attribution is hard

Die Verortung dieser Art von Hackerangriffen gilt bei Sicherheitsforschern als wackelige Angelegenheit. Hier hört man immer wieder das geflügelte Wort "attribution is hard" (Schuldzuweisung ist schwer). Falsche Fährten sind so gut wie nicht von echten Hinweisen zu unterscheiden und auf Grund einzelner Schadcode-Samples solche Einschätzungen zu treffen, ist ein fast hoffnungsloses Unterfangen. Erkenntnisse zur Herkunft einzelner Hackergruppen verdichten sich meist über jahrelange Beobachtungen von deren Operationen. Und selbst dann bleiben oft viele Fragen offen.

Update 16.05.2017, 11:14 Uhr

Wie es scheint haben die Trojaner-Schreiber ihre Erpressertexte mit Hilfe von Google Translate aus dem Englischen übersetzt. Die chinesischen Versionen scheinen allerdings nicht auf diese Art übersetzt worden zu sein. Ein Grund könnte sein, dass die Verfasser ein anderes Übersetzungsprogramm dafür verwendet haben. Oder sie sprechen Chinesisch. Die koreanische Version weist, wie einige andere Sprachen auch, einige kleine Änderungen vom Google-Translate-Text auf.

• WannaCry & Co.: So schützen Sie sich

(fab)