Erpressersoftware "WannaCry": Die Spur der Hacker führt nach Nordkorea

Nach der weltweiten Cyberattacke mit der Erpressersoftware „WannaCry“ haben Sicherheitsexperten erste Hinweise auf die möglichen Urheber entdeckt. Ein Spezialist des US-Unternehmens Symantec fand in älteren Versionen der Schadsoftware Elemente, die bei früheren Angriffen durch die Hackergruppe Lazarus verwendet wurden. Dazu gehörte unter anderem ein massiver Datendiebstahl bei Sony Pictures. Der damalige US-Präsident Barack Obama hatte Nordkorea Ende 2014 vorgeworfen, der Angriff auf  Sony sei eine  Vergeltungsmaßnahme für den Film „The Interview“, dort  ging es um die Ermordung des nordkoreanischen Machthabers.

Auch Informatiker von Google und  Kaspersky bestätigten Ähnlichkeiten im Code von „WannaCry“ und früheren Angriffen, für die nordkoreanische Hacker verantwortlich gemacht wurden. Die russische IT-Sicherheitsfirma Kaspersky erklärte, es sei „derzeit der bedeutendste Hinweis auf die Herkunft von WannaCry".

 Angriff zur Devisenbeschaffung?

Nach Informationen des Tagesspiegels halten es auch Sicherheitskreise  für möglich, dass Nordkorea für den globalen Hackerangriff verantwortlich ist. „Das Regime ist dazu fähig", heißt es. Im vergangenen Jahr hätten Hacker, die Nordkorea zuzurechnen seien, unter anderem das Cyberkommando der südkoreanischen Streitkräfte attackiert sowie die Zentralbank von Bangladesch. Dort flossen mehr als 80 Millionen Dollar ab. Den Raub habe mutmaßlich ebenfalls die nordkoreanische Hackergruppe Lazarus verübt. Sie soll zudem in diesem Jahr auch polnische Banken mit Schadsoftware infiltriert haben.

Da das Regime dringend Devisen benötige, sei ihm eine Erpressung wie jetzt mit „WannaCry" zuzutrauen, sagten Sicherheitsexperten. Es gehe darum, „an Geld heranzukommen, egal woher“, hieß es. Die Devisen würden für den Kauf von Technik gebraucht, die Nordkorea wegen der westlichen Sanktionen gegen das Land nicht legal erwerben könne. Es gebe zahlreiche Hinweise, dass das Regime für die Beschaffung von Geld auf Cyberangriffe setze, wie auch auf den Handel mit Drogen und Waffen.

Das bestätigt der  südkoreanische Experte Simon Choi. Er  verwies   auf einen großangelegten Hackerangriff auf das südkoreanische Online-Shopping-Portal Interpark, bei dem die Daten von mehr als zehn Millionen Nutzern gestohlen wurden. Die Hacker forderten Lösegeld in der Internet-Währung Bitcoin im Wert von rund drei Millionen Dollar (2,7 Millionen Euro). Die Polizei in Seoul beschuldigte den nordkoreanischen Geheimdienst, hinter der Attacke zu stehen.

 Hacker setzen auf Handarbeit

Die bisherigen Erlöse sprechen jedoch gegen die Theorie eines nordkoreanischen Angriffs zur Devisenbeschaffung. „Es hat die wahrscheinlich geringste Gewinnmarge die wir von einem Angriff mit Erpressersoftware gesehen haben“, sagte Craig Williams, Sicherheitsexperte bei Cisco Talos dem US-Magazin „Wired“. Denn bislang kamen nur etwa 70000 Dollar zusammen. Viel kleinere Attacken wie der Erpressungs-Trojaner Angler hätten dagegen 60 Millionen Dollar eingebracht. Der IT-Sicherheitsexperte Christoph Fischer aus Karlsruhe glaubt daher nicht an die nordkoreanische Spur: „Kim Jong Un will Milliarden bewegen und sich nicht tröpfchenweise ernähren“.

Die Einnahmen der „WannCry“-Erpresser lassen sich nachverfolgen, da sie vier Adressen angegeben haben, an die Betroffene Bitcoin im Wert von 300 Dollar überweisen sollen, damit ihre Daten wieder freigegeben werden. Das zeigt nach Experteneinschätzung jedoch, wie amateurhaft die Urheber agieren. Normalerweise wird bei Ransomware, wie die Verschlüsselungssoftware im Fachjargon heißt, für jedes Opfer ein separates Bitcoin-Konto angelegt, so kann auch einfach nachverfolgt werden, wer schon gezahlt hat. Dessen Daten werden dann automatisch wieder freigegeben. Bei „WannaCry“ erfolgt das jedoch in Handarbeit. „Es ist wirklich ein manueller Prozess, bei dem jemand die Zahlung bestätigen und den Schlüssel senden muss“, sagt der Londoner Sicherheitsforscher Matthew Hickey.      

Sollte Nordkorea hinter dem Angriff mit WannaCry stecken, hätte das Regime zudem  seiner politischen Strategie geschadet, sagen Sicherheitsexperten. Nordkorea werbe um die Europäer, doch denen habe die Cyberattacke geschadet, betonten Sicherheitsexperten. Deshalb sei auch nicht auszuschließen, dass die Hacker eine falsche Spur in Richtung Nordkorea gelegt hätten.

Die europäische Polizeibehörde Europol warnte ebenfalls  vor voreiligen Schlüssen: Noch sei völlig unklar, wer hinter dem Angriff stecke, sagte ein Sprecher. Und auch Symantec-Experte Eric Chien  gibt sich vorsichtig: „Wir brauchen mehr Übereinstimmungen im Code“.