Digital

Bild: RITCHIE B. TONGO/EPA/KEYSTONE

So arbeiten die «WannaCry»-Jäger

Die Erpressersoftware «WannaCry» hat weltweit Schaden angerichtet. Eine Spur führt nach Nordkorea, sagen Sicherheitsexperten. Doch wie kommen sie zu dem Verdacht? Einblicke in die digitale Detektivarbeit.

17.05.17, 22:08 18.05.17, 06:49

Markus Böhm, Angela Gruber und Judith Horchert

Ein Artikel von

Wenig Zeit? Am Textende gibt's eine Zusammenfassung.

Lösegeldforderungen auf den Anzeigetafeln an deutschen Bahnhöfen, britische Krankenhäuser und mehrere Renault-Werke lahmgelegt: Seit vergangenem Freitag sorgt die «WannaCry»-Attacke rund um den Globus für Aufregung. Sie gilt mittlerweile als der bislang grösste Angriff mit Erpressersoftware.

Für Mitarbeiter von grossen IT-Sicherheitsfirmen wie Kaspersky, Symantec und FireEye war wohl sofort klar: Es gibt Arbeit. Mit dem wachsenden Schaden der Attacke wuchs auch der öffentliche Druck auf diese Experten, möglichst bald die zentralen Frage zu beantworten: Was genau ist da passiert? Wie hätte sich das verhindern lassen? Und vor allem: Wer war es denn nun?

Es dauerte rund vier Tage, dann machte ein erster Verdacht die Runde, wer hinter der Erpressersoftware steckt: Nordkorea. Die «Lazarus-Gruppe», die Verbindungen zu dem Land haben soll, könnte es gewesen sein, mutmasste ein Sicherheitsforscher der Firma Symantec in der «New York Times». Die Gruppe ist für die Schadsoftware-Jäger ein alter Bekannter. Sie gilt auch als verantwortlich für die Attacke gegen Sony vor knapp drei Jahren und einen Angriff auf die Zentralbank in Bangladesch 2016.

Wie aber gelangen Forscher überhaupt zu solchen Schlüssen? Und wie eindeutig sind ihre Einschätzungen? Auf die «Lazarus-Gruppe» etwa deutet bislang vor allem ein Stück Code hin. Es könnten aber auch andere Hacker eine falsche Fährte gelegt haben, um den Verdacht von sich abzulenken.

Um zu verstehen, wie IT-Sicherheitsexperten arbeiten, muss man wissen: Softwareentwicklung ist ein Prozess, bei dem es viele – bereits funktionsfähige – Zwischenergebnisse gibt. Die werden immer weiter verbessert, kopiert oder als Steinbruch für neue Codes genutzt.

Bild: RITCHIE B. TONGO/EPA/KEYSTONE

Um solches Code-Recycling zu erkennen, hat zum Beispiel die russische Firma Kaspersky – ähnlich wie ihre Konkurrenz aus anderen Ländern oder auch Grosskonzerne wie Google – riesige Datenbanken mit Millionen Einträgen an Schadsoftware-Schnipseln aufgebaut. Für jeden Code-Schnipsel ist darin genau notiert, wann er entdeckt wurde und aus welcher Quelle er stammt.

Die Sammlung speist sich aus Beispielen, die Firmenkunden an Kaspersky weitergeben, erklärt Costin Raiu. Dazu kommen aber auch Einsendungen von Privatleuten, die Probleme mit ihren Computern haben. Raiu ist bei Kaspersky Leiter der globalen Forschungs- und Analyseeinheit.

Taucht eine neue Software-Variante auf, jagen die Experten sie durch ein Abgleichprogramm, um in der Datenbank nach Vorgänger-Versionen zu fahnden. Man kann sich die Arbeit von Leuten wie Raiu so vorstellen wie die eines Plagiatjägers: Ausgehend von einem aktuellen Beispiel suchen sie nach möglichen Vorbildern.

Kaspersky ist laut Raiu im Besitz Tausender Proben von «WannaCry». Der Quellcode für das ganze Programm ist dem Unternehmen zufolge aber noch nicht bekannt, den kennen nur die Angreifer.

Durch einen öffentlichen Hinweis von Google-Forscher Neel Mehta auf Twitter kamen Raiu und Experten anderer Firmen bei ihren Ermittlungen voran. Bisher gibt es vier zentrale Erkenntnisse:

Spektakuläre Angriffe wie der aktuelle sind für die IT-Sicherheitsfirmen immer auch eine Chance, ihre Arbeit – und ihre Produkte, etwa kommerzielle Antivirensoftware – bekannt zu machen. Digitalforensiker können aber fast nie einfache Antworten geben, das liegt in der Natur ihrer Arbeit. Ihr Vorgehen folgt einer anderen Logik als die der Öffentlichkeit und der Medien. Der «WannaCry»-Angriff zeigt das gerade besonders deutlich.

Generell achten die Malware-Analysten auf verschiedene Faktoren, hier eine Auswahl:

Überschaubares Risiko bei falschen Verdächtigungen

Bei ihrer Detektivarbeit müssen die IT-Forensiker also mühsam viele Indizien zusammentragen und daraus Rückschlüsse ziehen. «Eine hundertprozentige Sicherheit, wer hinter einer Cyberattacke steht, wird es nie geben», sagt Candid Wüest von Symantec, ähnlich äusserte sich Trend Micro.

Auch Raj Samani, Sicherheitsforscher bei McAfee, meint, dass es riskant sei, «nur anhand technischer Indikatoren auf einen Angreifer schliessen zu wollen»: «Viele arglistige Menschen werden tun, was sie können, um ihre Spuren zu verwischen und es so aussehen zu lassen, als käme der Angriff aus einer anderen Richtung.» Trotzdem habe er in der Vergangenheit schon alles gesehen – sogar, dass allein eine IP-Adresse vorgebracht wurde, um einen Angriff zuzuordnen.

Raiu vom Konkurrenten Kaspersky sagt: «Wir treffen niemals die Aussage: Dieses oder jenes Land ist verantwortlich.» Die sogenannte Attribution, die Suche nach dem Urheber, sei «hochspekulativ».

Dabei ist das Risiko, sich zu weit aus dem Fenster zu lehnen, überschaubar. Denn selbst falsche Attributionen von Sicherheitsfirmen seien in der heutigen Medienwelt schnell vergessen, heisst es von Trend Micro – mit dem Hinweis, dass das Identifizieren von Angreifern für das firmeneigene Geschäft keine grosse Rolle spielt. «Stellen sie sich als wahr heraus, kann man im Gegenteil davon profitieren», schreibt die Firma. «Aus Marketingsicht mag es deshalb für den ein oder anderen durchaus Sinn machen, auch provokante Thesen nach aussen zu vertreten.» Zum Beispiel Nordkorea.

Zusammengefasst: Nach dem «WannaCry»-Angriff wird mit Hochdruck nach Antworten auf die Frage gesucht, wer hinter der Erpressersoftware steckt. IT-Sicherheitsunternehmen sollen sie liefern. Doch ihre Arbeit ist komplex, Ergebnisse selten eindeutig. Im aktuellen Fall deuten bisher nur schwache Indizien um einen Schnipsel Code in Richtung Nordkorea.

Das könnte dich auch interessieren:

«Steckt euch eure Schokolade sonst wo hin» – so schreiben die Nordiren über Gegner Schweiz

Sterbender Schimpanse umarmt zum letzten Mal seinen Freund und sorgt für Hühnerhaut-Moment

Bis zu einer Milliarde für Olympiakandidatur

Er hat sie schon, so kriegst du sie: Die neue 10-er-Note ist im Umlauf

Bevor geboxt wird, küsst die Herausforderin die verdutzte Weltmeisterin

Liebe Männer, lasst euch von der Sexismus-Debatte nicht verunsichern. Benutzt euer Hirn.

7 ewige Online-Kommentar-Kriege, die dir die Freude an der Demokratie verderben

Bürki patzt: BVB blamabel auf Zypern 

So kriegst du die neue 10-er-Note schon heute

1 Franken pro Tag – die Billag wird günstiger

Alle Artikel anzeigen

Hol dir die App!

Charly Otherman, 5.5.2017
Watson kann nicht nur lustig! Auch für Deutsche (wie mich) ein Muss, obwohl ich das schweizerische nicht immer verstehe.
Abonniere unseren NewsletterNewsletter-Abo
8Alle Kommentare anzeigen
8
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 72 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
  • Binnennomade 17.05.2017 22:57
    Highlight Was mich wunder nähme: Grundsätzlich lässt sich ja aus einem Programm der Quellcode nicht rauslesen.. Die Sicherheitsfirmen scheinen allerdings Teile des Quellcodes zu besitzen und sogar die Spracheinstellung, mit der das Programm geschrieben wurde - wie machen die das? Kann mich vielleicht eln IT-affiner Kommentator erleuchten?
    6 0 Melden
    • Ueli der Knecht 17.05.2017 23:54
      Highlight Die Compiler übersetzen den Quellcode maschinell in Maschinencode. Dabei entstehen Muster (zB. wie Konstanten oder Library-Funktionen abgelegt werden), die je nach Compiler spezifische Unterschiede aufweisen. Daher lässt sich aus genügend Maschinencode herausfinden, welcher Compiler (mit welchen Einstellungen) verwendet wurde. Weil der meiste Code aus bekannten Bibliotheksfunktionen besteht (zB. strcmp um Zeichenketten zu vergleichen), lassen sich oft grosse Teile des Quellcodes maschinell wieder in Lesbares zurückübersetzen (zB. disassemblieren).
      Das nennt sich dann Reverse Engineering.
      23 1 Melden
  • Silent Speaker サイレントスピーカー 17.05.2017 22:29
    Highlight Musste gerade lachen. Ich scherzte schon am Freitag, dass die Amis den Schuldigen bald ausgemacht haben werden: Nordkorea. Nope, so simpel kann es nicht sein.

    Ach wie einfach gestrickt doch unsere Welt ist. Da sollte doch auch der hinterletzte Dorftrottel begreifen können, welch Propagandaspielchen getrieben werden.
    7 6 Melden
    • Toerpe Zwerg 17.05.2017 23:52
      Highlight Lassen Sie mich raten ... es waren die Amis selber.
      10 3 Melden
    • LeChef 18.05.2017 00:18
      Highlight Naja Toerpe.. Grundsätzlich waren es die Amis selber... War ja ein NSA Programm ;)) Aber schon klar, ich weiss was du meinst.
      17 0 Melden
    • Binnennomade 18.05.2017 10:36
      Highlight Kaspersky ist russisch..?
      0 0 Melden
    • Toerpe Zwerg 18.05.2017 11:00
      Highlight https://www.bloomberg.com/profiles/companies/1034431Z:RU-kaspersky-lab

      1 0 Melden
    • Binnennomade 18.05.2017 12:18
      Highlight Ich meinte das als Antwort auf den Verschwörungstheoretiker, da ich meinte, die russische Firma Kaspersky habe den Nordkorea-Verdacht geäussert. Habe aber beim nochmaligen Durchlesen gemerkt, dass es Symantec war.
      1 0 Melden

Die grossartigsten Bilder ever: Was Waldtiere machen, wenn sie denken, ungestört zu sein

Was machen Waldtiere eigentlich nachts? Wenn sie glauben, unbeobachtet zu sein? Diese Aufnahmen, die von Wild-Kameras in (vorwiegend amerikanischen) Wäldern geknipst werden, zeigen es. Und wir sind überglücklich, dass die Bilder den Weg ins Internet geschafft haben. 

(sim via Imgur/Reddit/BoredPanda)

Artikel lesen