Digital

Bild: RITCHIE B. TONGO/EPA/KEYSTONE

So arbeiten die «WannaCry»-Jäger

Die Erpressersoftware «WannaCry» hat weltweit Schaden angerichtet. Eine Spur führt nach Nordkorea, sagen Sicherheitsexperten. Doch wie kommen sie zu dem Verdacht? Einblicke in die digitale Detektivarbeit.

17.05.17, 22:08 18.05.17, 06:49

Markus Böhm, Angela Gruber und Judith Horchert

Ein Artikel von

Wenig Zeit? Am Textende gibt's eine Zusammenfassung.

Lösegeldforderungen auf den Anzeigetafeln an deutschen Bahnhöfen, britische Krankenhäuser und mehrere Renault-Werke lahmgelegt: Seit vergangenem Freitag sorgt die «WannaCry»-Attacke rund um den Globus für Aufregung. Sie gilt mittlerweile als der bislang grösste Angriff mit Erpressersoftware.

Für Mitarbeiter von grossen IT-Sicherheitsfirmen wie Kaspersky, Symantec und FireEye war wohl sofort klar: Es gibt Arbeit. Mit dem wachsenden Schaden der Attacke wuchs auch der öffentliche Druck auf diese Experten, möglichst bald die zentralen Frage zu beantworten: Was genau ist da passiert? Wie hätte sich das verhindern lassen? Und vor allem: Wer war es denn nun?

Es dauerte rund vier Tage, dann machte ein erster Verdacht die Runde, wer hinter der Erpressersoftware steckt: Nordkorea. Die «Lazarus-Gruppe», die Verbindungen zu dem Land haben soll, könnte es gewesen sein, mutmasste ein Sicherheitsforscher der Firma Symantec in der «New York Times». Die Gruppe ist für die Schadsoftware-Jäger ein alter Bekannter. Sie gilt auch als verantwortlich für die Attacke gegen Sony vor knapp drei Jahren und einen Angriff auf die Zentralbank in Bangladesch 2016.

Wie aber gelangen Forscher überhaupt zu solchen Schlüssen? Und wie eindeutig sind ihre Einschätzungen? Auf die «Lazarus-Gruppe» etwa deutet bislang vor allem ein Stück Code hin. Es könnten aber auch andere Hacker eine falsche Fährte gelegt haben, um den Verdacht von sich abzulenken.

Um zu verstehen, wie IT-Sicherheitsexperten arbeiten, muss man wissen: Softwareentwicklung ist ein Prozess, bei dem es viele – bereits funktionsfähige – Zwischenergebnisse gibt. Die werden immer weiter verbessert, kopiert oder als Steinbruch für neue Codes genutzt.

Bild: RITCHIE B. TONGO/EPA/KEYSTONE

Um solches Code-Recycling zu erkennen, hat zum Beispiel die russische Firma Kaspersky – ähnlich wie ihre Konkurrenz aus anderen Ländern oder auch Grosskonzerne wie Google – riesige Datenbanken mit Millionen Einträgen an Schadsoftware-Schnipseln aufgebaut. Für jeden Code-Schnipsel ist darin genau notiert, wann er entdeckt wurde und aus welcher Quelle er stammt.

Die Sammlung speist sich aus Beispielen, die Firmenkunden an Kaspersky weitergeben, erklärt Costin Raiu. Dazu kommen aber auch Einsendungen von Privatleuten, die Probleme mit ihren Computern haben. Raiu ist bei Kaspersky Leiter der globalen Forschungs- und Analyseeinheit.

Taucht eine neue Software-Variante auf, jagen die Experten sie durch ein Abgleichprogramm, um in der Datenbank nach Vorgänger-Versionen zu fahnden. Man kann sich die Arbeit von Leuten wie Raiu so vorstellen wie die eines Plagiatjägers: Ausgehend von einem aktuellen Beispiel suchen sie nach möglichen Vorbildern.

Kaspersky ist laut Raiu im Besitz Tausender Proben von «WannaCry». Der Quellcode für das ganze Programm ist dem Unternehmen zufolge aber noch nicht bekannt, den kennen nur die Angreifer.

Durch einen öffentlichen Hinweis von Google-Forscher Neel Mehta auf Twitter kamen Raiu und Experten anderer Firmen bei ihren Ermittlungen voran. Bisher gibt es vier zentrale Erkenntnisse:

Spektakuläre Angriffe wie der aktuelle sind für die IT-Sicherheitsfirmen immer auch eine Chance, ihre Arbeit – und ihre Produkte, etwa kommerzielle Antivirensoftware – bekannt zu machen. Digitalforensiker können aber fast nie einfache Antworten geben, das liegt in der Natur ihrer Arbeit. Ihr Vorgehen folgt einer anderen Logik als die der Öffentlichkeit und der Medien. Der «WannaCry»-Angriff zeigt das gerade besonders deutlich.

Generell achten die Malware-Analysten auf verschiedene Faktoren, hier eine Auswahl:

Überschaubares Risiko bei falschen Verdächtigungen

Bei ihrer Detektivarbeit müssen die IT-Forensiker also mühsam viele Indizien zusammentragen und daraus Rückschlüsse ziehen. «Eine hundertprozentige Sicherheit, wer hinter einer Cyberattacke steht, wird es nie geben», sagt Candid Wüest von Symantec, ähnlich äusserte sich Trend Micro.

Auch Raj Samani, Sicherheitsforscher bei McAfee, meint, dass es riskant sei, «nur anhand technischer Indikatoren auf einen Angreifer schliessen zu wollen»: «Viele arglistige Menschen werden tun, was sie können, um ihre Spuren zu verwischen und es so aussehen zu lassen, als käme der Angriff aus einer anderen Richtung.» Trotzdem habe er in der Vergangenheit schon alles gesehen – sogar, dass allein eine IP-Adresse vorgebracht wurde, um einen Angriff zuzuordnen.

Raiu vom Konkurrenten Kaspersky sagt: «Wir treffen niemals die Aussage: Dieses oder jenes Land ist verantwortlich.» Die sogenannte Attribution, die Suche nach dem Urheber, sei «hochspekulativ».

Dabei ist das Risiko, sich zu weit aus dem Fenster zu lehnen, überschaubar. Denn selbst falsche Attributionen von Sicherheitsfirmen seien in der heutigen Medienwelt schnell vergessen, heisst es von Trend Micro – mit dem Hinweis, dass das Identifizieren von Angreifern für das firmeneigene Geschäft keine grosse Rolle spielt. «Stellen sie sich als wahr heraus, kann man im Gegenteil davon profitieren», schreibt die Firma. «Aus Marketingsicht mag es deshalb für den ein oder anderen durchaus Sinn machen, auch provokante Thesen nach aussen zu vertreten.» Zum Beispiel Nordkorea.

Zusammengefasst: Nach dem «WannaCry»-Angriff wird mit Hochdruck nach Antworten auf die Frage gesucht, wer hinter der Erpressersoftware steckt. IT-Sicherheitsunternehmen sollen sie liefern. Doch ihre Arbeit ist komplex, Ergebnisse selten eindeutig. Im aktuellen Fall deuten bisher nur schwache Indizien um einen Schnipsel Code in Richtung Nordkorea.

Das könnte dich auch interessieren:

Die «Ehe light» ist gut – doch zuerst müssen wir die «echte Ehe» für Homosexuelle öffnen

Vater fährt 2200 Kilometer, um den Herzschlag seiner Tochter in fremdem Mann zu hören

15 grossartige Memes zum Wochenende, die leider viel zu sehr auf dich zutreffen

«Ich hasse geizige Menschen! S*******!»

Cyber-Attacke auf britisches Parlament – und besonders ein Politiker nimmt's mit Humor

«Trennt euch!» – warum er will, dass du Schluss machst, und damit völlig falsch liegt

Fies! Wie Kinder-Pools in der Werbung aussehen vs. die bittere Realität

Todes-Schlepper vor Gericht

Über LinkedIn und MySpace: Russische Hacker stehlen Daten britischer Politiker

Hamilton in Baku auf der Pole +++ EM-Silber für Triathletin Annen

Über 2100 Bootsflüchtlinge dieses Jahr ums Leben gekommen

So viel kostet das Surfen im Flugzeug

Gefahr auf dem Golan – Israel unterstützt syrische Rebellen und riskiert die Eskalation

Schweizer Wirtschaft profitiert von Aufschwung im Ausland

Wow! Diese Eule kann schwimmen

Verbraucht, verlacht, verlassen: Was mit denen passiert, die sich mit Trump einlassen

7 Grafiken, die jede Schweizer Frau bei der nächsten Lohnverhandlung dabei haben sollte  

Diese kleine Kunstgeschichte des Badens bringt dich ins Schwitzen

Zu heiss fürs iPhone? Heute wird's brenzlig

Wenn du diese Umrisse von Berühmtheiten nicht erkennst, klauen wir dir deinen Schatten

Sie haben einfach nie den Durchbruch geschafft: Die grössten Produkte-Flops der Geschichte

Uber ist verloren – die unglaubliche Chronologie der Uber-Fails

Männer, je öfter, desto besser! Fleissig ejakulieren senkt das Prostatakrebs-Risiko

Zuerst schmeisst Le Pen ihren Vater aus der Partei, nun fordert dieser ihren Rücktritt

Sean Spicer – irgendwie vermissen wir ihn jetzt schon

Mit iOS 11 kommen die Killer-Apps für Shopping-Fans und Einkaufs-Muffel

Raucher und Trinker sollen selber zahlen – Entsolidarisierung im Gesundheitswesen?

Uber-Chef Travis Kalanick tritt zurück

Rap-Ikone Prodigy von «Mobb Deep» ist tot

Scheinbeschäftigung: In Frankreich rollen reihenweise Köpfe von Macrons Ministern

So geht Apples Security gegen iPhone-Leaks vor

Sportlerpics auf Social Media: Rio Ferdinand ist eine krasse Maschine

«Wir werden mit frischem Hass zurückkommen»: Bye Bye «Circus HalliGalli»

Marco Streller hat's per WhatsApp eingefädelt – Cristiano Ronaldo wechselt zum FC Basel! 

Welches Land suchen wir? Wenn du Nummer 1 nicht weisst, sind die Ferien gestrichen!

Frauenhaut verboten! 23 absurde Album-Cover-Zensuren aus Saudi Arabien

Quizz den Huber! Bist du schlauer als unser schlauster Mitarbeiter?

Warum zwei Appenzeller Piloten im Mittelmeer Flüchtlinge retten müssen – eine Reportage

«Leute, die Anglizismen benutzen, gehen mir sooo auf den Sack!»

Verloren auf dem Meer des Unwissens: Rettet den Geschichtsunterricht!

History Porn – Showbiz Edition Teil III!

Liebe Karnivoren, lasst die Vegi-Wurst in Ruhe!

Sag mir doch einfach, dass du mich scheisse findest

EU schafft jetzt die Roaming-Gebühren ab – darum zahlen Schweizer nun gar mehr

Medikamente neu interpretiert – Teil 2!

20 Gründe in Bildern, warum du deinen Bart nicht abrasieren solltest

«Martha» ist der «hässlichste Hund der Welt»

Dress like a «Goodfella»: So geht der perfekte Mafia-Look – vom Hut bis zum Hemdkragen

Ein Abend im Luxus-Restaurant: So sieht ein Menü für 400 Franken aus

Starkoch Gordon Ramsay kriegt Filet auf einem Dachziegel serviert ... und ist sprachlos

Macron-«Tsunami» bei Parlamentswahl: Der Durchmarche

Lucrezia Borgia: Die päpstliche Bastardbrut der Renaissance

Alle Artikel anzeigen

Hol dir die App!

User-Review:
Galghamon, 3.12.2016
Ein guter Mix von News und Unterhaltung, sowie der Mut zur kritischen Analyse.
Abonniere unseren NewsletterNewsletter-Abo
8 Kommentare anzeigen
8
Um mit zudiskutieren oder Bilder und Youtube-Videos zu posten, musst du eingeloggt sein.
Youtube-Videos und Links einfach ins Textfeld kopieren.
600
  • Binnennomade 17.05.2017 22:57
    Highlight Was mich wunder nähme: Grundsätzlich lässt sich ja aus einem Programm der Quellcode nicht rauslesen.. Die Sicherheitsfirmen scheinen allerdings Teile des Quellcodes zu besitzen und sogar die Spracheinstellung, mit der das Programm geschrieben wurde - wie machen die das? Kann mich vielleicht eln IT-affiner Kommentator erleuchten?
    6 0 Melden
    • Ueli der Knecht 17.05.2017 23:54
      Highlight Die Compiler übersetzen den Quellcode maschinell in Maschinencode. Dabei entstehen Muster (zB. wie Konstanten oder Library-Funktionen abgelegt werden), die je nach Compiler spezifische Unterschiede aufweisen. Daher lässt sich aus genügend Maschinencode herausfinden, welcher Compiler (mit welchen Einstellungen) verwendet wurde. Weil der meiste Code aus bekannten Bibliotheksfunktionen besteht (zB. strcmp um Zeichenketten zu vergleichen), lassen sich oft grosse Teile des Quellcodes maschinell wieder in Lesbares zurückübersetzen (zB. disassemblieren).
      Das nennt sich dann Reverse Engineering.
      23 1 Melden
    600
  • Silent Speaker 17.05.2017 22:29
    Highlight Musste gerade lachen. Ich scherzte schon am Freitag, dass die Amis den Schuldigen bald ausgemacht haben werden: Nordkorea. Nope, so simpel kann es nicht sein.

    Ach wie einfach gestrickt doch unsere Welt ist. Da sollte doch auch der hinterletzte Dorftrottel begreifen können, welch Propagandaspielchen getrieben werden.
    7 6 Melden
    • Toerpe Zwerg 17.05.2017 23:52
      Highlight Lassen Sie mich raten ... es waren die Amis selber.
      10 3 Melden
    • LeChef 18.05.2017 00:18
      Highlight Naja Toerpe.. Grundsätzlich waren es die Amis selber... War ja ein NSA Programm ;)) Aber schon klar, ich weiss was du meinst.
      17 0 Melden
    • Binnennomade 18.05.2017 10:36
      Highlight Kaspersky ist russisch..?
      0 0 Melden
    • Toerpe Zwerg 18.05.2017 11:00
      Highlight https://www.bloomberg.com/profiles/companies/1034431Z:RU-kaspersky-lab

      1 0 Melden
    • Binnennomade 18.05.2017 12:18
      Highlight Ich meinte das als Antwort auf den Verschwörungstheoretiker, da ich meinte, die russische Firma Kaspersky habe den Nordkorea-Verdacht geäussert. Habe aber beim nochmaligen Durchlesen gemerkt, dass es Symantec war.
      1 0 Melden
    600

Allein in der Finsternis – Wir müssen mehr über Depressionen reden

Wie erkenne ich eine Depression? Wie komme ich wieder raus? Und wie kann ich helfen, wenn's jemandem in meinem Umfeld schlecht geht? Ein paar Antworten.

Psychische Krankheiten sind in weiten Teilen der Gesellschaft noch immer ein Tabuthema. Es gibt keine Röntgenbilder, die man vorweisen kann, keine Blutwerte, keine einfache Weise, wie man als Laie eindeutig erkennen kann, dass jemand psychisch erkrankt ist.  

Das macht es nicht nur den Betroffenen schwer, offen mit ihrem Leiden umzugehen – es ist auch für Nicht-Betroffene schwierig, Achtsamkeit für psychische Formen von Erkrankungen zu entwickeln. Dazwischen stehen die Angehörigen, …

Artikel lesen