Digital
Analyse

Die Lazarus Group – sind Nordkoreas Elite-Hacker für WannaCry verantwortlich?

Nordkoreas Hackergruppe Lazarus Group
Wer steckt hinter der Lazarus-Gruppe, und was tut sie mit dem vielen Geld?screenshot: kaspersky lab
Analyse

Die Hacker, die von den Toten zurückkehren

Sicherheitsforscher bezeichnen die Lazarus-Gruppe als «Malware-Fabrik» und mächtige Cyber-Crime-Organisation, die Banken und Casinos knackt. Aber dass sie auch hinter «WannaCry» steckt, ist zu bezweifeln.
28.05.2017, 18:21
Mehr «Digital»
Die Hackergruppe erhielt von Sicherheitsforschern den Namen, weil sie mit ihrem Code von den Toten zurückkehrt. Allerdings nicht einmal, sondern immer wieder.

Das Markenzeichen der Lazarus-Gruppe ist ihre Unberechenbarkeit. Während sich die meisten Cyber-Crime-Banden auf bestimmte Methoden spezialisieren, beherrschen die Lazarus-Hacker das ganze Repertoire. Und sind auch gewillt, es einzusetzen, wie die Attacke auf Sony Pictures 2014 zeigte.

  • Wie Hacktivisten verfolgten sie eine politische Agenda und versuchten die öffentliche Diskussion zu dominieren (siehe Bildstrecke unten).
  • Wie «gewöhnlichen» Cyber-Kriminellen ging es ihnen um Geld.
  • Die Cyber-Spionage war ebenfalls ein wichtiger Bestandteil, was an staatliche Nachrichtendienste erinnerte.

Dabei war der Sony-Hack bei weitem nicht der erste Angriff der Lazarus-Gruppe – und auch nicht der erfolgreichste. Am 4. Februar 2016 knackten die Hacker die Zentralbank von Bangladesh und machten sich mit 81 Millionen Dollar Beute davon.

Nur durch Zufall – nämlich einen Tippfehler, der einen Bankangestellten misstrauisch machte – gelang es Lazarus nicht, die Gesamttransaktion von fast einer Milliarde zu beenden.

«Wir sind auf den Namen [Lazarus] gekommen, weil in neuen Generationen von Schadprogrammen immer wieder die gleichen einzigartigen Code-Segmente auftauchten.»
Sicherheitsforscher Andre Ludwigquelle: phys.org

Bevor wir zur jüngsten Attacke kommen, die auf das Konto der Lazarus-Gruppe gehen soll ...

Das musst du über die berüchtigte Hackergruppe wissen

1 / 24
Nordkoreas berüchtigte Hacker – so arbeitet die Lazarus Group
Die Lazarus Group schlägt weltweit zu...
Auf Facebook teilenAuf X teilen

Lazarus und WannaCry

Damit sind wir bei WannaCry angelangt. Also der Malware-Attacke, die im Mai über 230'000 Windows-Rechner betraf.

Die IT-Sicherheitsfirma Symantec hält eine Verbindung zu Nordkorea mittlerweile für «sehr wahrscheinlich». Das US-Unternehmen meldete diese Woche im Blog, seine Fachleute hätten mehrfach vorkommende Code-Elemente gefunden, die sowohl in früheren Versionen von WannaCry benutzt worden seien als auch bei anderen Programmen der als Lazarus bezeichneten Hackergruppe. Hinter ihr vermuten viele Forscher Nordkorea.

Zudem sei die gleiche Internet-Verbindung genutzt worden, um eine erste Version von WannCry auf zwei Computern zu installieren und um mit einem Programm zu kommunizieren, das vor zwei Jahren Daten bei Sony Pictures zerstört habe, teilte Symantec am Montag mit. Für die Hackerattacke auf Sony im Jahr 2014 hatten die USA und private IT-Firmen die Regierung in Pjöngjang verantwortlich gemacht.

Nordkorea hat den Verdacht auf die Verantwortung für die WannaCry-Hackerattacke als «lächerlich» zurückgewiesen.

Und seither haben auch andere Sicherheitsforscher ihre Bedenken und Zweifel an der Lazarus-Hypothese geäussert.

Der deutsche Comedian Hagen Rether über das «böse Nordkorea»...

Danke für den Link, @poesie_vivante!Video: YouTube/uncutnews.ch

Die Einheit 180

Man muss kein Verschwörungstheoretiker sein, um zu konstatieren, dass Nordkorea für den Westen der perfekte Bösewicht wäre. Und es wäre auch nicht zum ersten Mal, dass die US-Regierung bei der Beweisführung «nachhilft» (oder auch gleich Beweise fälscht, wie dies bei Saddam Hussein und dessen angeblichen «Weapons of Mass Destruction» der Fall war).

Dem ist entgegenzuhalten, dass die Nordkoreaner und allen voran ihr Diktator Kim Jong-un keine Chorknaben sind. Gemäss einem Bericht der Nachrichtenagentur Reuters finanziert der nordkoreanische Auslandsgeheimdienst eine Gruppe namens «Einheit 180», die mit Cyberattacken dem grossen Feind im Süden (Südkorea) schaden und Devisen beschaffen soll.

epa04183185 An undated picture released by the North Korean Central News Agency (KCNA) on 27 April 2014 shows North Korean leader Kim Jong-un (C) looking at a computer along with soldiers of a long-ra ...
Hier freut sich Nordkoreas Armeeführung wohl kaum über einen gelungenen Cyberangriff, oder?Bild: EPA/YONHAP/KCNA

Geldbeschaffung durch Hackerangriffe? Damit sei das Land erfolgreicher als mit Drogenhandel, Fälschungen oder Schmuggel, sagte der Nordkoreaexperte James Lewis der Agentur.

«Ähnlich äusserte sich der frühere Informatikprofessor Kim Heung Kwang, der 2004 in den Süden überlief. Die Einheit 180 greife Banken an und hebe Geld von Konten ab. Die Hacker arbeiteten vom Ausland aus, um keine Spuren zu hinterlassen. Wahrscheinlich tarnten sie sich als Mitarbeiter von Handelsfirmen, von Niederlassungen nordkoreanischer Firmen oder von Gemeinschaftsunternehmen in China oder anderen asiatischen Staaten.»
quelle: reuters

Stümper am Werk?

Es stellen sich allerdings grundsätzliche Fragen, respektive Zweifel, dass die Lazarus-Gruppe hinter WannaCry steckt.

  • Warum weist die WannaCry-Schadsoftware, die gemäss der Nordkorea-Hypothese von absoluten Hacker-Profis programmiert worden wäre, schwerwiegende Mängel auf, die laut Experten eher auf Amateure schliessen lassen?
  • Weshalb sollten sich Staats-Hacker, die bei früheren Raubzügen schätzungsweise hundert Millionen Dollar erbeuteten, plötzlich mit «Kleingeld» zufriedengeben?

Ja, es hätte noch viel schlimmer kommen können, wenn die WannaCry-Entwickler raffinierter vorgegangen wären – und ihre Erpressungssoftware sauberer programmiert hätten.

  • Ein junger Sicherheitsforscher stiess zufällig auf eine einfache Methode, um die automatische Verbreitung von WannaCry nach wenigen Stunden einzudämmen.
  • Warum die Malware einen integrierten «Ausschaltmechanismus» besass, ist nicht bekannt. Verwunderlich ist auf jeden Fall, dass ihn die Entwickler aus unbekannten Gründen nicht ausreichend vor fremdem Zugriff schützten.
  • Bei Ransomware-Attacken generieren erfahrene Täter für jedes Opfer eine eigene Bitcoin-Adresse, um schnell überprüfen zu können, wer das Lösegeld bezahlt hat. Bei WannaCry wurden insgesamt nur drei Bitcoin-Adressen registriert.
  • Die Malware enthält Programmcode, den Spezialisten als unausgereift beschreiben. Dazu gleich mehr.

Hierzu gilt anzumerken, dass die WannaCry-Malware aus zwei Programmteilen (Modulen) zusammengesetzt ist:

  1. Das Einbruchs-Modul ermöglicht dem Computer-Wurm in fremde Rechner einzudringen und sich schnell zu verbreiten. Dieses besteht bei WannaCry aus einer modifizierten Version des von der NSA entwickelten Windows-Exploits mit dem einprägsamen Namen «EternalBlue». Profi-Arbeit!
  2. Das Ransomware-Modul ist der Programmteil, der nach dem Eindringen ins fremde System die Daten des Opfers verschlüsselt und dann die Erpressung abwickelt. Dieser Code sei nichts Besonderes, meinen Fachleute. Ja, es ist gar von stümperhaften Fehlern die Rede.

Die Sicherheitsforscher von Symantec und Co. weisen darauf hin, dass die Übereinstimmungen im Programmcode von Wannacry kein Beweis für die Täterschaft von Lazarus seien.

«Die Codesequenz könnte auch genutzt worden sein, um eine falsche Spur zu legen. Möglicherweise haben die Angreifer sie auch nur kopiert, um sich so Arbeit zu sparen.»

Zur Vermutung, dass es sich bei WannaCry um ein Ablenkungsmanöver handeln könnte, passt die Entdeckung eines anderen Sicherheitsforschers:

«Der IT-Sicherheitsspezialist Proofpoint hat ein Programm namens ‹Adylkuzz› entdeckt, das die gleichen Sicherheitslücken ausnutzt wie ‹Wanna Cry›. Das arbeitet jedoch im Verborgenen: Es nutzt die Rechenleistung der infizierten Computer, um die virtuelle Währung Monero zu erzeugen – und bremst damit die Systeme, wie das Unternehmen in einem Blogeintrag erläutert.»
quelle: viwo.de

Sicher ist: Die eindeutige Zuordnung von Cyberattacken (Attribution) ist ohne Real-Life-Beweise unmöglich – in der digitalen Welt lassen sich Spuren allzu leicht verwischen oder fälschen.

Wer steckt hinter der WannaCry-Attacke auf Windows-PCs?

Mit Material der Nachrichtenagentur SDA

Spannender Hintergrund-Bericht zu Malware-Jägern

Aktuelle wissenschaftliche Studie zum Thema: «The Never-Ending Game of Cyberattack Attribution» (PDF).

Die sieben eindrücklichsten Hacker-Attacken

1 / 10
Sieben eindrückliche Hacker-Attacken
2014 wurden private Fotos – vor allem Nacktbilder – von über 100 Prominenten im Netz veröffentlicht, die von Apples Online-Speicher iCloud gestohlen wurden. Auch Jennifer Lawrence war davon betroffen.
quelle: jordan strauss/invision/ap/invision / jordan strauss
Auf Facebook teilenAuf X teilen
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das könnte dich auch noch interessieren:
2 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
2
Elon Musk hasst Gewerkschafter – jetzt rate, wer bei Tesla Deutschland mitbestimmt
Die Zeiten im Tesla-Werk in Grünheide bleiben ungemütlich: Die Betriebsratswahlen gewinnt eine Gruppe, mit der Tesla-Chef Musk wenig anfangen kann.

Die Gewerkschaft IG Metall ist künftig im Betriebsrat des deutschen Tesla-Werkes in Grünheide vertreten – was Tesla-Chef Elon Musk kaum freuen dürfte. Er hatte bis zuletzt vor einem Erfolg der IG Metall bei den Wahlen gewarnt, so «Handelsblatt» und «Manager Magazin».

Zur Story