Düsseldorf Wer steckt hinter dem Cyberangriff, der kürzlich Hunderttausende Computer lahmlegte? Sicherheitsforscher haben neue Indizien gefunden, dass Nordkorea etwas damit zu tun haben könnte: Die Werkzeuge und Infrastrukturen, die bei der Verbreitung der Erpressungssoftware „Wanna Cry“ zum Einsatz kamen, deuteten stark auf die Gruppe Lazarus hin, erklärte der IT-Sicherheitsanbieter Symantec in einem Blogeintrag. Sie stehe mit dem Staat in Verbindung.
„Wanna Cry“ legte Mitte Mai mehr als 240.000 Computer lahm, zum Beispiel in britischen Krankenhäusern, bei großen Konzernen wie Telefónica und Fedex sowie im russischen Innenministerium. Bei der Deutschen Bahn fielen zwischenzeitlich zahlreiche Anzeigentafeln aus. Die unbekannten Täter schleusten die schädliche Software über eine Sicherheitslücke ein und forderten für die Freigabe der Daten ein Lösegeld – zu zahlen in der Digitalwährung Bitcoin. Experten bezeichnen diese Betrugsmasche als Ransomware.
Die IT-Sicherheitsforscher von Symantec untersuchten, welche Werkzeuge, Techniken und Infrastrukturen die Angreifer genutzt hatten. Dabei entdeckten sie nach eigenen Angaben „substanzielle Gemeinsamkeiten“ mit früheren Aktivitäten der Gruppe Lazarus, die Experten mit Nordkorea in Verbindung bringen. So seien einige Softwareelemente identisch, zudem sei die Kommunikation teilweise über die gleichen Netzwerke gelaufen.
Es sei daher „höchst wahrscheinlich“, dass sie auch hinter „Wanna Cry“ stecke, erklärten die Symantec-Experten. Die Firma Fireeye bestätigte die Einschätzung gegenüber der Nachrichtenagentur Bloomberg grundsätzlich. Die Funde zeigten mindestens, dass die Erpresser Ressourcen zur Softwareentwicklung mit nordkoreanischen Spionageeinheiten teilten, erklärte Analyst Ben Read.
Die Gruppe ist nach Einschätzung von IT-Sicherheitsforschern bereits seit mehreren Jahren aktiv. So soll sie hinter dem Cyberangriff auf Sony Pictures stehen, bei dem sie 2014 vertrauliche Daten wie E-Mails, Gehaltslisten und unveröffentlichte Filme des Studios erbeutete und online stellte. Womöglich als Rache für die Komödie „The Interview“: In der Satire kommt der nordkoreanische Machthaber Kim Jong-Un zu Tode. Auch der digitale Bankraub bei der Zentralbank von Bangladesch wird mit der Gruppe in Verbindung gebracht. Die Täter erbeuteten dabei 81 Millionen Dollar.
Eine eindeutige Zuordnung des Cyberangriffs ist allerdings unmöglich – in der digitalen Welt lassen sich Spuren leicht verwischen oder fälschen. Nordkorea bestritt denn auch bereits vor einigen Tagen, als erste Vorwürfe öffentlich wurden, jedwede Beteiligung. Allerdings würde der massenhafte Erpressungsversuch durchaus ins Muster passen: Der Auslandsgeheimdienst unterhält nach einem Bericht der Nachrichtenagentur Reuters eine Gruppe namens „Einheit 180“, die mit Cyberangriffen nicht zuletzt Devisen beschaffen soll.
Damit sei das Land erfolgreicher als mit Drogenhandel, Fälschungen oder Schmuggel, sagte der Nordkoreaexperte James Lewis der Agentur. Ähnlich äußerte sich der frühere Informatikprofessor Kim Heung Kwang, der 2004 nach Südkorea überlief. „Einheit 180“ greife Banken an und hebe Geld von Konten ab. Die Hacker arbeiteten vom Ausland aus, um keine Spuren zu hinterlassen.
Bisher erst 110.000 Dollar erbeutet
Im aktuellen Fall läuft die Devisengewinnung jedoch schleppend. Während die Software zahlreiche Computer lahmlegte, gelang es den Tätern bislang nicht, große Summen zu erpressen – nach Einschätzung von Experten sind es bislang umgerechnet rund 110.000 Dollar. Das geht aus einer Analyse der Bitcoin-Konten vor, auf die Erpressungsopfer das Lösegeld überweisen sollen. Die Digitalwährung ermöglicht zwar Anonymität, alle Zahlungen sind aber öffentlich nachvollziehbar.
Über die Gründe spekuliert die Fachwelt derzeit. Einerseits weist die Software eklatante Schwächen auf. So nutzen die Kriminellen nur drei Bitcoin-Konten. Daher müssen sie alle Überweisungen zunächst einzeln überprüfen, bevor sie die Daten auf einem Computer wieder freigeben. Darauf deuten vereinzelte Berichte hin, etwa beim Online-Magazin Quartz. Aufgrund der großen Verzögerung zahlen viele Opfer womöglich nicht. Andere Erpressungsprogramme weisen jedem Opfer ein eigenes Bitcoin-Konto zu und wickeln die Freigabe automatisch ab.
Andererseits könnte es sich um eine Ablenkung handeln. Der IT-Sicherheitsspezialist Proofpoint hat ein Programm namens „Adylkuzz“ entdeckt, das die gleichen Sicherheitslücken ausnutzt wie „Wanna Cry“. Das arbeitet jedoch im Verborgenen: Es nutzt die Rechenleistung der infizierten Computer, um die virtuelle Währung Monero zu erzeugen – und bremst damit die Systeme, wie das Unternehmen in einem Blogeintrag erläutert. Endgültig sagen lässt sich das indes nicht. „Es ist schwierig, in die Köpfe der Angreifer zu gucken”, sagte Symantec-Analyst Dick O’Brien dem Handelsblatt. Ob sie amateurhaft vorgegangen seien oder andere Ziele hätten, darüber könne man nur spekulieren.
Lazarus nutzte für den Angriff eine Sicherheitslücke aus dem Fundus der NSA. Der US-Geheimdienste hatte sie mehrere Jahre für heimliche Überwachung genutzt, bis eine Hackergruppe namens Shadow Brokers sie öffentlich machte und damit auch anderen Gruppen Zugriff verschaffte. Dass nun auch andere Kriminelle diese Lücke nutzen, hält O’Brien für unwahrscheinlich: „Wanna Cry“ sei so erfolgreich, dass viele Firmen und Privatleute jetzt die Software aktualisieren oder die Computer vom Netz nehmen. „Ein professioneller Angreifer denkt sich jetzt wahrscheinlich, dass die Gelegenheit vorbei ist.“
Allerdings veröffentlichten die „Schattenhändler” auch andere Angriffswerkzeuge der NSA. „Angesichts großer Reichweite und Wirkung von ‚Wanna Cry‘ ist davon auszugehen, dass andere Cyberkriminelle gerade die Daten durchkämmen“, sagte O’Brien. Wie erfolgreich sie damit sind, werden die nächsten Wochen und Monate zeigen.