DDoS-Angriffe per Zombie-Rechner: "Nordkoreas mächtige Hackerarmee"?

Noch immer ist unbekannt, wer hinter den seit Tagen stattfindenden DDoS-Angriffen auf Websites der Regierungen von Südkorea und den USA sowie von Unternehmen steht. Der koreanische Geheimdienst NIS berichtet, dass die koordinierten Angriffe mit einem Bot-Netz von zehntausenden Rechnern auf 86 IP-Adressen von 16 Ländern, darunter Deutschland, Österreich, Georgien, Japan, China und die USA, zurückverfolgt werden konnten. Nordkorea sei allerdings nicht dabei. Der Zugang zu den Rechnern ist von Südkorea aus gesperrt worden.

Der Geheimdienst vermutet, dass Nordkorea aufgrund der zunehmenden Spannungen für die Angriffe verantwortlich sein könnte. Hinweise darauf konnte er aber bislang nicht vorlegen. Im Mai hatten Geheimdienstmitarbeiter wieder einmal erklärt, dass Nordkorea eine Einheit mit 100 oder mehr "Hackern" für den Cyberwar aufgebaut habe. Die Einheit versuche, südkoreanische und US-amerikanische Websites zu hacken und Informationen zu stehlen. Das wird allerdings schon seit Jahren behauptet (siehe dazu Die Infokrieger aus der "Achse des Bösen"). In der Zeitung Chosun Ilbo, die auch Ziel der Angriffe war, wird von Nordkoreas mächtiger Hackerarmee gesprochen. Der Ministerpräsident Han Seung-soo erklärte, es handele sich um "einen Angriff auf das nationale System und eine Provokation, die die nationale Sicherheit bedroht".

Die südkoreanische Opposition wirft der Regierung mittlerweile vor, in Nordkorea einen Sündenbock zu suchen. Manche vermuten auch einen Zusammenhang damit, dass Südkorea – ebenso wie das Pentagon kurz zuvor – Ende Juni angekündigt hatte, verstärkt für die Führung und die Abwehr von Cyberkriegen aufzurüsten und ein Cyberwar-Kommando aufzubauen.

Am gestrigen Donnerstag fand die dritte Welle der Angriffe vor allem gegen südkoreanische Websites statt, darunter die der Nationalversammlung, des Verteidigungsministerium, der Kookmin Bank, der Zeitung Chosun Ilbo und von einigen Online-Portalen. In Südkorea sollen fast 20.000 Rechner infiziert sein und als Zombies dienen.

Die koreanische Behörde für Informationssicherheit sagt, dass der Trojaner, der in den Rechnern installiert wurde, eine Version des Mydoom-Wurms, auch ein Programm enthält, das in den infizierten Computern Daten löscht. Bislang wurde bekannt, dass die Daten auf 96 Computern gelöscht wurden. Die Behörde geht allerdings davon aus, dass es mehr werden. Nach der KCC soll das auf mehr als 20.000 Rechnern installierte Programm heute starten, um die Festplatten zu löschen. Da allerdings der Zugang zu den 86 Servern gesperrt wurde, von denen die Schadprogramme kopiert werden, hofft man, dass sich die Gefahr in Grenzen hält. Man rechnet auch damit, dass es nun keine vierte Angriffswelle mehr geben wird. Die Regierung fordert die Koreaner auf, die Computer besser zu sichern. Es werden beispielsweise von Hauri oder Ahnlab Programme angeboten, um den Trojaner zu löschen.

Nach Joe Stewart von SecureWorks wird durch das vom Trojaner heruntergeladene Programm die Festplatte der infizierten Rechner mit der Botschaft "memory of the independence day" und solange mit dem Buchstaben "u" überschrieben, bis alle Daten gelöscht sind. (fr)