IT-Sicherheitsexperten haben bei der Analyse der jüngsten globalen Cyber-Attacke Indizien gefunden, die nach Nordkorea zeigen. Die Wissenschaftler warnen allerdings davor, voreilige Schlüsse zu ziehen.
Die New York Times berichtet, dass auch US-Geheimdienste die Indizien für glaubwürdig genug halten, um die Rolle Nordkoreas genauer zu untersuchen.
Die Erpressungssoftware "WannaCry" hatte am Freitag nach Angaben von Europol mindestens 150 Länder sowie 200 000 Organisationen und Personen getroffen. "WannaCry" hatte auf den infizierten Rechnern alle Daten verschlüsselt. Sie sollten erst nach Zahlung eines Lösegelds wieder entsperrt werden.
Bei der Attacke nutzte die Software eine Sicherheitslücke im Microsoft-Betriebssystem Windows aus, über die sie automatisch neue Computer anstecken konnte. Diese Schwachstelle hatte sich einst der US-Geheimdienst NSA für seine Überwachung aufgehoben, dann hatten unbekannte Hacker sie aber publik gemacht.
Angriffe auf Sony sowie Banken in Bangladesch und Polen
Als Erstem fiel Neel Mehta, IT-Sicherheitsforscher bei Google, eine 100-prozentige Übereinstimmung in zwei unterschiedlichen Programmteilen auf. Bei einem der Programme handelte es sich um "WannaCry", die Erpresser-Software. Allerdings war es nicht die aktuelle Version, die sich global verbreitete, sondern eine Vorgänger-Variante aus dem Februar. Die zweite Code-Basis gehört zur sogenannten Lazarus-Gruppe. IT-Sicherheitsfirmen wie Kaspersky und Symantec gehen davon aus, dass diese Gruppe sowohl hinter dem Hack auf Sony Pictures Entertainment steckt als auch das Banking-System Swift. US-Geheimdienste teilen diese Sicht.
Es ist nicht unüblich, dass Hacker sich ihren Code aus mehreren Stellen zusammenkopieren, um falsche Fährten zu legen. Das sei auch in diesem Fall möglich, schreiben die Experten von Kaspersky. Ein solches Szenario finden die Forscher aber "unwahrscheinlich". Nach bisherigem Kenntnisstand ist der Code der Lazarus-Gruppe öffentlich nicht verfügbar.
Auch Maarten van Dantzig, der als IT-Sicherheitsforscher arbeitet, geht derzeit davon aus, dass die Theorie der falschen Fährte derzeit wenig Sinn ergebe. Denn die Angreifer haben jenen Teil, der nach Nordkorea zeigt, in der späteren Version, also beim globalen Cyber-Angriff wieder aus dem Code entfernt. Die wahrscheinlichere Theorie sei, dass die Lazaurs-Gruppe hinter beiden Angriffen stecke und ihnen die Code-Überlappung aufgefallen sei. Auch van Dantzig sagt, dass die Hinweise derzeit noch "dünn" seien.
Symantec-Ermittler Eric Chien sagte, derzeit habe man lediglich eine zeitliche Verbindung entdeckt. "Wir wollen mehr Codierungs-Parallelen entdecken, damit wir eine festere Überzeugung bekommen." Symantec hatte in der Vergangenheit durch die USA, Israel und Nordkorea eingefädelte Attacken identifiziert.
Der damalige US-Präsident Barack Obama hatte Nordkorea Ende 2014 vorgeworfen, Computer von Sony als Vergeltungsmaßnahme für eine Komödie zerstört zu haben. In "The Interview" ging es um die Ermordung des nordkoreanischen Machthabers Kim Jung-un.
