Die Hacker, die von den Toten zurückkehren
Das Markenzeichen der Lazarus-Gruppe ist ihre Unberechenbarkeit. Während sich die meisten Cyber-Crime-Banden auf bestimmte Methoden spezialisieren, beherrschen die Lazarus-Hacker das ganze Repertoire. Und sind auch gewillt, es einzusetzen, wie die Attacke auf Sony Pictures 2014 zeigte.
- Wie Hacktivisten verfolgten sie eine politische Agenda und versuchten die öffentliche Diskussion zu dominieren (siehe Bildstrecke unten).
- Wie «gewöhnlichen» Cyber-Kriminellen ging es ihnen um Geld.
- Die Cyber-Spionage war ebenfalls ein wichtiger Bestandteil, was an staatliche Nachrichtendienste erinnerte.
Dabei war der Sony-Hack bei weitem nicht der erste Angriff der Lazarus-Gruppe – und auch nicht der erfolgreichste. Am 4. Februar 2016 knackten die Hacker die Zentralbank von Bangladesh und machten sich mit 81 Millionen Dollar Beute davon.
Nur durch Zufall – nämlich einen Tippfehler, der einen Bankangestellten misstrauisch machte – gelang es Lazarus nicht, die Gesamttransaktion von fast einer Milliarde zu beenden.
Bevor wir zur jüngsten Attacke kommen, die auf das Konto der Lazarus-Gruppe gehen soll ...
Das musst du über die berüchtigte Hackergruppe wissen
Lazarus und WannaCry
Damit sind wir bei WannaCry angelangt. Also der Malware-Attacke, die im Mai über 230'000 Windows-Rechner betraf.
Die IT-Sicherheitsfirma Symantec hält eine Verbindung zu Nordkorea mittlerweile für «sehr wahrscheinlich». Das US-Unternehmen meldete diese Woche im Blog, seine Fachleute hätten mehrfach vorkommende Code-Elemente gefunden, die sowohl in früheren Versionen von WannaCry benutzt worden seien als auch bei anderen Programmen der als Lazarus bezeichneten Hackergruppe. Hinter ihr vermuten viele Forscher Nordkorea.
Zudem sei die gleiche Internet-Verbindung genutzt worden, um eine erste Version von WannCry auf zwei Computern zu installieren und um mit einem Programm zu kommunizieren, das vor zwei Jahren Daten bei Sony Pictures zerstört habe, teilte Symantec am Montag mit. Für die Hackerattacke auf Sony im Jahr 2014 hatten die USA und private IT-Firmen die Regierung in Pjöngjang verantwortlich gemacht.
Nordkorea hat den Verdacht auf die Verantwortung für die WannaCry-Hackerattacke als «lächerlich» zurückgewiesen.
Und seither haben auch andere Sicherheitsforscher ihre Bedenken und Zweifel an der Lazarus-Hypothese geäussert.
Der deutsche Comedian Hagen Rether über das «böse Nordkorea»...
Die Einheit 180
Man muss kein Verschwörungstheoretiker sein, um zu konstatieren, dass Nordkorea für den Westen der perfekte Bösewicht wäre. Und es wäre auch nicht zum ersten Mal, dass die US-Regierung bei der Beweisführung «nachhilft» (oder auch gleich Beweise fälscht, wie dies bei Saddam Hussein und dessen angeblichen «Weapons of Mass Destruction» der Fall war).
Dem ist entgegenzuhalten, dass die Nordkoreaner und allen voran ihr Diktator Kim Jong-un keine Chorknaben sind. Gemäss einem Bericht der Nachrichtenagentur Reuters finanziert der nordkoreanische Auslandsgeheimdienst eine Gruppe namens «Einheit 180», die mit Cyberattacken dem grossen Feind im Süden (Südkorea) schaden und Devisen beschaffen soll.
Geldbeschaffung durch Hackerangriffe? Damit sei das Land erfolgreicher als mit Drogenhandel, Fälschungen oder Schmuggel, sagte der Nordkoreaexperte James Lewis der Agentur.
Stümper am Werk?
Es stellen sich allerdings grundsätzliche Fragen, respektive Zweifel, dass die Lazarus-Gruppe hinter WannaCry steckt.
- Warum weist die WannaCry-Schadsoftware, die gemäss der Nordkorea-Hypothese von absoluten Hacker-Profis programmiert worden wäre, schwerwiegende Mängel auf, die laut Experten eher auf Amateure schliessen lassen?
- Weshalb sollten sich Staats-Hacker, die bei früheren Raubzügen schätzungsweise hundert Millionen Dollar erbeuteten, plötzlich mit «Kleingeld» zufriedengeben?
Ja, es hätte noch viel schlimmer kommen können, wenn die WannaCry-Entwickler raffinierter vorgegangen wären – und ihre Erpressungssoftware sauberer programmiert hätten.
- Ein junger Sicherheitsforscher stiess zufällig auf eine einfache Methode, um die automatische Verbreitung von WannaCry nach wenigen Stunden einzudämmen.
- Warum die Malware einen integrierten «Ausschaltmechanismus» besass, ist nicht bekannt. Verwunderlich ist auf jeden Fall, dass ihn die Entwickler aus unbekannten Gründen nicht ausreichend vor fremdem Zugriff schützten.
- Bei Ransomware-Attacken generieren erfahrene Täter für jedes Opfer eine eigene Bitcoin-Adresse, um schnell überprüfen zu können, wer das Lösegeld bezahlt hat. Bei WannaCry wurden insgesamt nur drei Bitcoin-Adressen registriert.
- Die Malware enthält Programmcode, den Spezialisten als unausgereift beschreiben. Dazu gleich mehr.
Hierzu gilt anzumerken, dass die WannaCry-Malware aus zwei Programmteilen (Modulen) zusammengesetzt ist:
- Das Einbruchs-Modul ermöglicht dem Computer-Wurm in fremde Rechner einzudringen und sich schnell zu verbreiten. Dieses besteht bei WannaCry aus einer modifizierten Version des von der NSA entwickelten Windows-Exploits mit dem einprägsamen Namen «EternalBlue». Profi-Arbeit!
- Das Ransomware-Modul ist der Programmteil, der nach dem Eindringen ins fremde System die Daten des Opfers verschlüsselt und dann die Erpressung abwickelt. Dieser Code sei nichts Besonderes, meinen Fachleute. Ja, es ist gar von stümperhaften Fehlern die Rede.
Die Sicherheitsforscher von Symantec und Co. weisen darauf hin, dass die Übereinstimmungen im Programmcode von Wannacry kein Beweis für die Täterschaft von Lazarus seien.
Zur Vermutung, dass es sich bei WannaCry um ein Ablenkungsmanöver handeln könnte, passt die Entdeckung eines anderen Sicherheitsforschers:
Sicher ist: Die eindeutige Zuordnung von Cyberattacken (Attribution) ist ohne Real-Life-Beweise unmöglich – in der digitalen Welt lassen sich Spuren allzu leicht verwischen oder fälschen.
Mit Material der Nachrichtenagentur SDA
Spannender Hintergrund-Bericht zu Malware-Jägern
Aktuelle wissenschaftliche Studie zum Thema: «The Never-Ending Game of Cyberattack Attribution» (PDF).
Die sieben eindrücklichsten Hacker-Attacken
