Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Nordkoreas Hackergruppe Lazarus Group

Wer steckt hinter der Lazarus-Gruppe, und was tut sie mit dem vielen Geld? screenshot: kaspersky lab

Analyse

Die Hacker, die von den Toten zurückkehren

Sicherheitsforscher bezeichnen die Lazarus-Gruppe als «Malware-Fabrik» und mächtige Cyber-Crime-Organisation, die Banken und Casinos knackt. Aber dass sie auch hinter «WannaCry» steckt, ist zu bezweifeln.



Die Hackergruppe erhielt von Sicherheitsforschern den Namen, weil sie mit ihrem Code von den Toten zurückkehrt. Allerdings nicht einmal, sondern immer wieder.

Das Markenzeichen der Lazarus-Gruppe ist ihre Unberechenbarkeit. Während sich die meisten Cyber-Crime-Banden auf bestimmte Methoden spezialisieren, beherrschen die Lazarus-Hacker das ganze Repertoire. Und sind auch gewillt, es einzusetzen, wie die Attacke auf Sony Pictures 2014 zeigte.

Dabei war der Sony-Hack bei weitem nicht der erste Angriff der Lazarus-Gruppe – und auch nicht der erfolgreichste. Am 4. Februar 2016 knackten die Hacker die Zentralbank von Bangladesh und machten sich mit 81 Millionen Dollar Beute davon.

Nur durch Zufall – nämlich einen Tippfehler, der einen Bankangestellten misstrauisch machte – gelang es Lazarus nicht, die Gesamttransaktion von fast einer Milliarde zu beenden.

«Wir sind auf den Namen [Lazarus] gekommen, weil in neuen Generationen von Schadprogrammen immer wieder die gleichen einzigartigen Code-Segmente auftauchten.»

Sicherheitsforscher Andre Ludwig quelle: phys.org

Bevor wir zur jüngsten Attacke kommen, die auf das Konto der Lazarus-Gruppe gehen soll ...

Das musst du über die berüchtigte Hackergruppe wissen

Lazarus und WannaCry

Damit sind wir bei WannaCry angelangt. Also der Malware-Attacke, die im Mai über 230'000 Windows-Rechner betraf.

Die IT-Sicherheitsfirma Symantec hält eine Verbindung zu Nordkorea mittlerweile für «sehr wahrscheinlich». Das US-Unternehmen meldete diese Woche im Blog, seine Fachleute hätten mehrfach vorkommende Code-Elemente gefunden, die sowohl in früheren Versionen von WannaCry benutzt worden seien als auch bei anderen Programmen der als Lazarus bezeichneten Hackergruppe. Hinter ihr vermuten viele Forscher Nordkorea.

Zudem sei die gleiche Internet-Verbindung genutzt worden, um eine erste Version von WannCry auf zwei Computern zu installieren und um mit einem Programm zu kommunizieren, das vor zwei Jahren Daten bei Sony Pictures zerstört habe, teilte Symantec am Montag mit. Für die Hackerattacke auf Sony im Jahr 2014 hatten die USA und private IT-Firmen die Regierung in Pjöngjang verantwortlich gemacht.

Nordkorea hat den Verdacht auf die Verantwortung für die WannaCry-Hackerattacke als «lächerlich» zurückgewiesen.

Und seither haben auch andere Sicherheitsforscher ihre Bedenken und Zweifel an der Lazarus-Hypothese geäussert.

Der deutsche Comedian Hagen Rether über das «böse Nordkorea»...

abspielen

Danke für den Link, @poesie_vivante! Video: YouTube/uncutnews.ch

Die Einheit 180

Man muss kein Verschwörungstheoretiker sein, um zu konstatieren, dass Nordkorea für den Westen der perfekte Bösewicht wäre. Und es wäre auch nicht zum ersten Mal, dass die US-Regierung bei der Beweisführung «nachhilft» (oder auch gleich Beweise fälscht, wie dies bei Saddam Hussein und dessen angeblichen «Weapons of Mass Destruction» der Fall war).

Dem ist entgegenzuhalten, dass die Nordkoreaner und allen voran ihr Diktator Kim Jong-un keine Chorknaben sind. Gemäss einem Bericht der Nachrichtenagentur Reuters finanziert der nordkoreanische Auslandsgeheimdienst eine Gruppe namens «Einheit 180», die mit Cyberattacken dem grossen Feind im Süden (Südkorea) schaden und Devisen beschaffen soll.

epa04183185 An undated picture released by the North Korean Central News Agency (KCNA) on 27 April 2014 shows North Korean leader Kim Jong-un (C) looking at a computer along with soldiers of a long-range artillery unit during its firing drill at an undisclosed location in North Korea.  EPA/KCNA SOUTH KOREA OUT  NO SALES

Hier freut sich Nordkoreas Armeeführung wohl kaum über einen gelungenen Cyberangriff, oder? Bild: EPA/YONHAP/KCNA

Geldbeschaffung durch Hackerangriffe? Damit sei das Land erfolgreicher als mit Drogenhandel, Fälschungen oder Schmuggel, sagte der Nordkoreaexperte James Lewis der Agentur.

«Ähnlich äusserte sich der frühere Informatikprofessor Kim Heung Kwang, der 2004 in den Süden überlief. Die Einheit 180 greife Banken an und hebe Geld von Konten ab. Die Hacker arbeiteten vom Ausland aus, um keine Spuren zu hinterlassen. Wahrscheinlich tarnten sie sich als Mitarbeiter von Handelsfirmen, von Niederlassungen nordkoreanischer Firmen oder von Gemeinschaftsunternehmen in China oder anderen asiatischen Staaten.»

quelle: reuters

Stümper am Werk?

Es stellen sich allerdings grundsätzliche Fragen, respektive Zweifel, dass die Lazarus-Gruppe hinter WannaCry steckt.

Ja, es hätte noch viel schlimmer kommen können, wenn die WannaCry-Entwickler raffinierter vorgegangen wären – und ihre Erpressungssoftware sauberer programmiert hätten.

Hierzu gilt anzumerken, dass die WannaCry-Malware aus zwei Programmteilen (Modulen) zusammengesetzt ist:

  1. Das Einbruchs-Modul ermöglicht dem Computer-Wurm in fremde Rechner einzudringen und sich schnell zu verbreiten. Dieses besteht bei WannaCry aus einer modifizierten Version des von der NSA entwickelten Windows-Exploits mit dem einprägsamen Namen «EternalBlue». Profi-Arbeit!
  2. Das Ransomware-Modul ist der Programmteil, der nach dem Eindringen ins fremde System die Daten des Opfers verschlüsselt und dann die Erpressung abwickelt. Dieser Code sei nichts Besonderes, meinen Fachleute. Ja, es ist gar von stümperhaften Fehlern die Rede.

Die Sicherheitsforscher von Symantec und Co. weisen darauf hin, dass die Übereinstimmungen im Programmcode von Wannacry kein Beweis für die Täterschaft von Lazarus seien.

«Die Codesequenz könnte auch genutzt worden sein, um eine falsche Spur zu legen. Möglicherweise haben die Angreifer sie auch nur kopiert, um sich so Arbeit zu sparen.»

quelle: manager-magazin.de

Zur Vermutung, dass es sich bei WannaCry um ein Ablenkungsmanöver handeln könnte, passt die Entdeckung eines anderen Sicherheitsforschers:

«Der IT-Sicherheitsspezialist Proofpoint hat ein Programm namens ‹Adylkuzz› entdeckt, das die gleichen Sicherheitslücken ausnutzt wie ‹Wanna Cry›. Das arbeitet jedoch im Verborgenen: Es nutzt die Rechenleistung der infizierten Computer, um die virtuelle Währung Monero zu erzeugen – und bremst damit die Systeme, wie das Unternehmen in einem Blogeintrag erläutert.»

quelle: viwo.de

Sicher ist: Die eindeutige Zuordnung von Cyberattacken (Attribution) ist ohne Real-Life-Beweise unmöglich – in der digitalen Welt lassen sich Spuren allzu leicht verwischen oder fälschen.

Umfrage

Wer steckt hinter der WannaCry-Attacke auf Windows-PCs?

  • Abstimmen

359

  • Nordkorea4%
  • Die USA11%
  • Russland3%
  • China2%
  • Eine private Cyber-Crime-Gruppe24%
  • Ich war's 🙈48%
  • Jemand anders8%

Mit Material der Nachrichtenagentur SDA

Spannender Hintergrund-Bericht zu Malware-Jägern

Aktuelle wissenschaftliche Studie zum Thema: «The Never-Ending Game of Cyberattack Attribution» (PDF).

Die sieben eindrücklichsten Hacker-Attacken

Das könnte dich auch interessieren:

Mehr Spass! Hier kommen die 24 lustigsten Fails, die das Internet gerade zu bieten hat

Link zum Artikel

«So sehen Depressionen aus» – Facebookpost einer jungen Frau geht viral

Link zum Artikel

Kommen Sie, kommen Sie! PICDUMP!

Link zum Artikel

Kann Basel YB wieder gefährlich werden? Alle Transfers der Super League im Überblick

Link zum Artikel

Abonniere unseren Newsletter

2
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
2Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Madison Pierce 28.05.2017 18:15
    Highlight Highlight Es ist üblich, dass Malware einen "Ausschaltmechanismus" besitzt. Dies, um zu erkennen, wenn sie in einer Analyseumgebung ausgeführt wird. Dort stellt sie ihren Dienst ein, um die Analyse zu erschweren.

    Da in solchen Umgebungen alle Domains aufgelöst werden (und auf einen Analyse-Rechner zeigen), ist es sinnvoll, eine nicht benötigte Domain aufzulösen. Gibt es eine Antwort, ist man in einer Analyseumgebung.

    Der Fehler war nur, die Domain nicht dynamisch zu erzeugen und nicht mal selbst zu registrieren.
    • FixFox 29.05.2017 14:45
      Highlight Highlight @Madison Pierce

      Allerdings ist die Sachlage beim WannaCry Wurm nicht ganz so klar...vor einer forensischen Untersuchung zu verstecken ist ja nicht notwendig da der Quellcode des Exploits frei verfügbar ist.

      Was meiner Ansicht nach nicht deutlich genug rüberkommt ist die Tatsache, dass der entscheidende Quellcode nicht aus Nordkorea oder sonstwo stammt - sondern aus dem Shadow Brokers Leak...also direkt von der NSA entwickelt wurde. Im übrigen...im gleichen Paket wurden auch Tools der NSA entdeckt um bestehenden Code gezielt so zu manipulieren als komme er aus Land X oder Land Y.

Die DeepNude-App zieht Frauen aus – ohne Einwilligung der Betroffenen

Ein Programmierer hat eine App entwickelt, mit der sich Fotos von Frauen in Nacktbilder umwandeln lassen.

Dabei handelt es sich selbstverständlich um Fälschungen. Aber um gut gemachte, die je nach Vorlage täuschend realistisch aussehen können.

Möglich ist dies dank raffinierter Algorithmen, die bei der automatischen Bildbearbeitung zum Einsatz kommen. Ein sogenanntes neuronales Netzwerk wurde darauf trainiert, Aufnahmen von bekleideten weiblichen Körpern so zu manipulieren, dass realistisch …

Artikel lesen
Link zum Artikel