DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Nordkoreas Hackergruppe Lazarus Group

Wer steckt hinter der Lazarus-Gruppe, und was tut sie mit dem vielen Geld? screenshot: kaspersky lab

Analyse

Die Hacker, die von den Toten zurückkehren

Sicherheitsforscher bezeichnen die Lazarus-Gruppe als «Malware-Fabrik» und mächtige Cyber-Crime-Organisation, die Banken und Casinos knackt. Aber dass sie auch hinter «WannaCry» steckt, ist zu bezweifeln.



Die Hackergruppe erhielt von Sicherheitsforschern den Namen, weil sie mit ihrem Code von den Toten zurückkehrt. Allerdings nicht einmal, sondern immer wieder.

Das Markenzeichen der Lazarus-Gruppe ist ihre Unberechenbarkeit. Während sich die meisten Cyber-Crime-Banden auf bestimmte Methoden spezialisieren, beherrschen die Lazarus-Hacker das ganze Repertoire. Und sind auch gewillt, es einzusetzen, wie die Attacke auf Sony Pictures 2014 zeigte.

Dabei war der Sony-Hack bei weitem nicht der erste Angriff der Lazarus-Gruppe – und auch nicht der erfolgreichste. Am 4. Februar 2016 knackten die Hacker die Zentralbank von Bangladesh und machten sich mit 81 Millionen Dollar Beute davon.

Nur durch Zufall – nämlich einen Tippfehler, der einen Bankangestellten misstrauisch machte – gelang es Lazarus nicht, die Gesamttransaktion von fast einer Milliarde zu beenden.

«Wir sind auf den Namen [Lazarus] gekommen, weil in neuen Generationen von Schadprogrammen immer wieder die gleichen einzigartigen Code-Segmente auftauchten.»

Sicherheitsforscher Andre Ludwig quelle: phys.org

Bevor wir zur jüngsten Attacke kommen, die auf das Konto der Lazarus-Gruppe gehen soll ...

Das musst du über die berüchtigte Hackergruppe wissen

Lazarus und WannaCry

Damit sind wir bei WannaCry angelangt. Also der Malware-Attacke, die im Mai über 230'000 Windows-Rechner betraf.

Die IT-Sicherheitsfirma Symantec hält eine Verbindung zu Nordkorea mittlerweile für «sehr wahrscheinlich». Das US-Unternehmen meldete diese Woche im Blog, seine Fachleute hätten mehrfach vorkommende Code-Elemente gefunden, die sowohl in früheren Versionen von WannaCry benutzt worden seien als auch bei anderen Programmen der als Lazarus bezeichneten Hackergruppe. Hinter ihr vermuten viele Forscher Nordkorea.

Zudem sei die gleiche Internet-Verbindung genutzt worden, um eine erste Version von WannCry auf zwei Computern zu installieren und um mit einem Programm zu kommunizieren, das vor zwei Jahren Daten bei Sony Pictures zerstört habe, teilte Symantec am Montag mit. Für die Hackerattacke auf Sony im Jahr 2014 hatten die USA und private IT-Firmen die Regierung in Pjöngjang verantwortlich gemacht.

Nordkorea hat den Verdacht auf die Verantwortung für die WannaCry-Hackerattacke als «lächerlich» zurückgewiesen.

Und seither haben auch andere Sicherheitsforscher ihre Bedenken und Zweifel an der Lazarus-Hypothese geäussert.

Der deutsche Comedian Hagen Rether über das «böse Nordkorea»...

abspielen

Danke für den Link, @poesie_vivante! Video: YouTube/uncutnews.ch

Die Einheit 180

Man muss kein Verschwörungstheoretiker sein, um zu konstatieren, dass Nordkorea für den Westen der perfekte Bösewicht wäre. Und es wäre auch nicht zum ersten Mal, dass die US-Regierung bei der Beweisführung «nachhilft» (oder auch gleich Beweise fälscht, wie dies bei Saddam Hussein und dessen angeblichen «Weapons of Mass Destruction» der Fall war).

Dem ist entgegenzuhalten, dass die Nordkoreaner und allen voran ihr Diktator Kim Jong-un keine Chorknaben sind. Gemäss einem Bericht der Nachrichtenagentur Reuters finanziert der nordkoreanische Auslandsgeheimdienst eine Gruppe namens «Einheit 180», die mit Cyberattacken dem grossen Feind im Süden (Südkorea) schaden und Devisen beschaffen soll.

epa04183185 An undated picture released by the North Korean Central News Agency (KCNA) on 27 April 2014 shows North Korean leader Kim Jong-un (C) looking at a computer along with soldiers of a long-range artillery unit during its firing drill at an undisclosed location in North Korea.  EPA/KCNA SOUTH KOREA OUT  NO SALES

Hier freut sich Nordkoreas Armeeführung wohl kaum über einen gelungenen Cyberangriff, oder? Bild: EPA/YONHAP/KCNA

Geldbeschaffung durch Hackerangriffe? Damit sei das Land erfolgreicher als mit Drogenhandel, Fälschungen oder Schmuggel, sagte der Nordkoreaexperte James Lewis der Agentur.

«Ähnlich äusserte sich der frühere Informatikprofessor Kim Heung Kwang, der 2004 in den Süden überlief. Die Einheit 180 greife Banken an und hebe Geld von Konten ab. Die Hacker arbeiteten vom Ausland aus, um keine Spuren zu hinterlassen. Wahrscheinlich tarnten sie sich als Mitarbeiter von Handelsfirmen, von Niederlassungen nordkoreanischer Firmen oder von Gemeinschaftsunternehmen in China oder anderen asiatischen Staaten.»

quelle: reuters

Stümper am Werk?

Es stellen sich allerdings grundsätzliche Fragen, respektive Zweifel, dass die Lazarus-Gruppe hinter WannaCry steckt.

Ja, es hätte noch viel schlimmer kommen können, wenn die WannaCry-Entwickler raffinierter vorgegangen wären – und ihre Erpressungssoftware sauberer programmiert hätten.

Hierzu gilt anzumerken, dass die WannaCry-Malware aus zwei Programmteilen (Modulen) zusammengesetzt ist:

  1. Das Einbruchs-Modul ermöglicht dem Computer-Wurm in fremde Rechner einzudringen und sich schnell zu verbreiten. Dieses besteht bei WannaCry aus einer modifizierten Version des von der NSA entwickelten Windows-Exploits mit dem einprägsamen Namen «EternalBlue». Profi-Arbeit!
  2. Das Ransomware-Modul ist der Programmteil, der nach dem Eindringen ins fremde System die Daten des Opfers verschlüsselt und dann die Erpressung abwickelt. Dieser Code sei nichts Besonderes, meinen Fachleute. Ja, es ist gar von stümperhaften Fehlern die Rede.

Die Sicherheitsforscher von Symantec und Co. weisen darauf hin, dass die Übereinstimmungen im Programmcode von Wannacry kein Beweis für die Täterschaft von Lazarus seien.

«Die Codesequenz könnte auch genutzt worden sein, um eine falsche Spur zu legen. Möglicherweise haben die Angreifer sie auch nur kopiert, um sich so Arbeit zu sparen.»

quelle: manager-magazin.de

Zur Vermutung, dass es sich bei WannaCry um ein Ablenkungsmanöver handeln könnte, passt die Entdeckung eines anderen Sicherheitsforschers:

«Der IT-Sicherheitsspezialist Proofpoint hat ein Programm namens ‹Adylkuzz› entdeckt, das die gleichen Sicherheitslücken ausnutzt wie ‹Wanna Cry›. Das arbeitet jedoch im Verborgenen: Es nutzt die Rechenleistung der infizierten Computer, um die virtuelle Währung Monero zu erzeugen – und bremst damit die Systeme, wie das Unternehmen in einem Blogeintrag erläutert.»

quelle: viwo.de

Sicher ist: Die eindeutige Zuordnung von Cyberattacken (Attribution) ist ohne Real-Life-Beweise unmöglich – in der digitalen Welt lassen sich Spuren allzu leicht verwischen oder fälschen.

Wer steckt hinter der WannaCry-Attacke auf Windows-PCs?

Mit Material der Nachrichtenagentur SDA

Spannender Hintergrund-Bericht zu Malware-Jägern

Aktuelle wissenschaftliche Studie zum Thema: «The Never-Ending Game of Cyberattack Attribution» (PDF).

Die sieben eindrücklichsten Hacker-Attacken

Das könnte dich auch interessieren:

Wie ansteckend sind Kinder wirklich? Was die Wissenschaft bis jetzt dazu weiss

Link zum Artikel

4 Gründe, weshalb die Corona-Zahlen des BAG wenig mit der Realität zu tun haben

Link zum Artikel

London hält Zahlen über Impfstoffexporte zurück

Link zum Artikel

So lief Tag 1 nach Bekanntgabe der «ausserordentliche Lage» für die Schweiz

Link zum Artikel

Die Schweiz befindet sich im Notstand – die 18 wichtigsten Antworten zur neuen Lage

Link zum Artikel

Lasst meinen Sex in Ruhe, ihr Ehe- und Kartoffel-Fanatiker!

Link zum Artikel

Magic Johnson vs. Larry Bird – ein College-Final als Beginn einer grossen Sportrivalität

Link zum Artikel

Corona International: EU beschliesst Einreisestopp ++ Italien mit 345 neuen Todesopfern

Link zum Artikel

Wie ich nach 3 Stunden Möbelhaus von Wolke 7 plumpste

Link zum Artikel

Der Mann, der es wagt, Trump zu widersprechen

Link zum Artikel

Ein Virus beendet Jonas Hillers Karriere: «Es gäbe noch viel schlimmere Szenarien»

Link zum Artikel

Das iPad kriegt Radar? Darum ist der Lidar-Sensor eine kleine Revolution

Link zum Artikel

Die Fallzahlen steigen wieder leicht an – so sieht's in deinem Kanton aus

Link zum Artikel
Alle Artikel anzeigen
DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Interview

«Über Social Media tragen Rechtsextreme ihre Ideologien in die Mitte der Gesellschaft»

Andre Wolf ist Faktenchecker bei der österreichischen Rechercheplattform Mimikama. In seinem Buch «Angriff auf die Demokratie» schreibt er über die Gefahren rechtsextremer Netzwerke, die das Internet unterwandern.

Herr Wolf, in Ihrem Buch schreiben Sie, dass seit Beginn der Pandemie intensiver Fake News verbreitet werden und der Hass im Netz zugenommen haben. Warum?Andre Wolf: Dieses Phänomen kann man immer dann beobachten, wenn etwas passiert, das viele Menschen betrifft und das Thema stark medial aufgegriffen wird. Im Fahrwasser der Berichterstattung tauchen dann viele Falschmeldungen auf. Das passierte schon 2015 bei der Flüchtlingskrise. Oder immer, wenn es islamistisch-motivierte Terroranschläge …

Artikel lesen
Link zum Artikel