bedeckt München 20°

Wanna Cry:Die mühsame Jagd auf Lazarus

Mitarbeiter der Korea Internet and Security Agency (KISA) in Seoul verfolgen die weltweite Ransomware-Attacke.

(Foto: AFP)

Tief im Code der Erpresser-Software finden Experten eine mögliche Spur zu Hackern aus Nordkorea. Doch die Beweisführung ist schwierig.

Es ist eine kryptische Botschaft, die der IT-Experte Neel Mehta auf Twitter postete. "9c7c7149387a1c79679a87dd1ba755bc @ 0x402560", lautet ein Teil. Unter IT-Sicherheitsforschern verbreitete sich die Nachricht vom Montagabend jedoch schnell. Denn dem IT-Sicherheitsforscher von Google war es gelungen, ein erstes Indiz zu finden, wer hinter dem Cyber-Angriff mit dem Programm "Wanna Cry" stecken könnte: Nordkorea.

Mit der Erpresser-Software wurden am Wochenende etwa 300 000 Rechner infiziert. Britische Kliniken mussten Operationen verschieben, Renault seine Produktion unterbrechen.

Die Botschaft von Mehta verweist auf ein Stück Code, der sich sowohl in Wanna Cry befindet als auch in einem Trojaner, welcher der Lazarus-Gruppe zugerechnet wird. So bezeichnen Sicherheitsfirmen wie Kaspersky und Symantec eine Hacker-Gruppe, die im Auftrag der Regierung Nordkoreas arbeiten soll.

Ein Indiz, kein Beweis

Unter IT-Sicherheitsforschern gilt es als Indiz, wenn Code-Teile zu 100 Prozent übereinstimmen. Ähnlich wie Grafologen, die Handschriften analysieren und Rückschlüsse auf Personen ziehen, analysieren Experten den Code der Software. Trotz allem ist dies jedoch nur ein Indiz, kein Beweis.

So wäre theoretisch denkbar, dass Angreifer bewusst falsche Fährten legen wollen. Kaspersky-Forscher nennen dies jedoch "unwahrscheinlich". Es gebe mehrere Versionen von Wanna Cry, Meehta habe eine vom Februar 2017 gefunden, sagt Costin Raiu von Kaspersky. "Nur jemand mit Zugang zur Originalversion vom Februar wäre unserer Meinung nach in der Lage, den Angriff vom 10. Mai durchzuführen."

Mittlerweile gibt es auch ein zweites Indiz, wie der Sicherheitsforscher Candid Wüest von Symantec erklärt: "Auf einigen Maschinen haben wir kurz vor dem Wanna-Cry-Ausbruch auch Tools von Lazarus gefunden." Im Moment analysiere der Forscher, ob es Beweise gebe, dass Wanna Cry von diesen Tools heruntergeladen wurde.

Was treibt Kim Jong-un an?

Stimmen die Hinweise, wäre es nicht die einzige Provokation, die dieser Tage aus Nordkorea kommt. Diktator Kim Jong-un baut an seinem Atomprogramm, er garniert seine Nukleartests mit Kriegsdrohungen in Richtung USA, Südkorea und Japan. Resolutionen des UN-Sicherheitsrats ignoriert Kim, dabei stellt sich immer wieder die Frage: Was treibt diesen Mann an?

Experten gehen davon aus, dass sein Atomprogramm längst kein Bluff mehr ist, sondern eine reale Bedrohung darstellt. Kim provoziert also, er protzt mit seinem Arsenal. Nach der Einschätzung von Beobachtern will er sich damit wohl Respekt verschaffen, weil er von Südkorea und den USA auf Augenhöhe behandelt werden will. Womöglich steckt dies auch hinter Hacker-Aktivitäten aus dem Land, womöglich aber auch nur Geldgier.

Auch wenn Nordkorea nach außen hin rückständig wirken mag, trauen Experten nordkoreanischen Hackern einen solchen Angriff zu. Eine Attacke auf Sony Pictures Entertainment von 2014 wird ebenfalls Nordkorea zugerechnet. Sony produzierte damals einen Film, in dem es um ein fiktives Mordkomplott gegen Kim geht.

Bei dem Hacker-Angriff wurden Sony viele Daten gestohlen und veröffentlicht. Unter Präsident Barack Obama verhängte die US-Regierung Sanktionen, um Pjöngjang für "destruktives und destabilisierendes Verhalten" zur Verantwortung zu ziehen.

© SZ vom 17.05.2017

Lesen Sie mehr zum Thema

Zur SZ-Startseite