Mittwoch, 24. Juli 2019

Sony, Swift - und jetzt "Wannacry"? So arbeitet die Hackergruppe Lazarus

3. Teil: Professionelle Organisation

Laut Kaspersky ist die Lazarus-Gruppe sehr professionell organisiert. Ihr Vorgehen gehe weit über das bei Cyberkriminellen übliche Maß hinaus. Sowohl ihre Angriffstechniken als auch der Umgang mit infizierten Systemen lasse auf eine große Organisation schließen. "Wir glauben, dass Lazarus in den nächsten Jahren eine der größten Gefahren für den Bankensektor, Finanz- und Handelsgesellschaften sowie Casinos darstellen wird", heißt es.

Verbindungen zwischen Lazarus und Nordkorea sind aber bisher ebenso vage, wie die Indizien, die auf eine Täterschaft der Gruppe bei der "Wannacry"-Attacke hindeuten.

Auch die Sicherheitsfirmen weisen darauf hin, dass die Übereinstimmungen im Programmcode kein Beweis für eine Täterschaft von Lazarus seien. Die Codesequenz könnte auch genutzt worden sein, um eine falsche Spur zu legen. Möglicherweise haben die Angreifer sie auch nur kopiert, um sich so Arbeit zu sparen. Es gebe allerdings genügend Hinweise, die eine weitere Untersuchung rechtfertigen würden, schreibt beispielsweise Symantec.

Amateure am Werk?

Einige Experten sind dagegen der Meinung, dass der "Wannacry"-Angriff von Amateuren ausgegangen sein könnte. Dafür spreche, dass eine Reihe von Programmierfehlern die Erpressungssoftware ausgebremst haben dürfte.

So hatte das Schadprogramm einen eingebauten "Ausschaltknopf", der den Infektionsweg stoppen konnte. Ein britischer IT-Spezialist hatte ihn gefunden und so am Wochenende die weitere Ausbreitung beendet. Außerdem sind die für die Angriffe genutzten Werkzeuge allesamt im Internet erhältlich. Hacker hatten den Schadcode vor einigen Wochen vom US-Geheimdienst NSA entwendet und veröffentlicht.

Auch das vergleichsweise geringe Lösegeld, das die Angreifer über die digitale Währung Bitcoin vermutlich erbeuten dürften, gilt als Indiz für mangelnde Professionalität. Zumal von dem Angriff nur Computersysteme betroffen waren, die nicht bereits mit dem seit März erhältlichen Patch abgesichert waren.

Dieser Punkt könnte auch gegen Vermutungen sprechen, Nordkorea stecke hinter der Attacke. "Kim Jong Un will Milliarden bewegen und sich nicht tröpfchenweise ernähren", sagte der Sicherheitsexperte Christoph Fischer der Nachrichtenagentur dpa.

Diese Einschätzung bestätigt letztlich auch die Untersuchung der Lazarus-Gruppe durch Kaspersky. Die Gruppe möchte lieber anonym große Geldmengen erbeuten und keine Spuren hinterlassen, unabhängig davon, ob irgendeine Verbindung zu Nordkorea besteht. Die Aufmerksamkeit, die die "Wannacry"-Attacke auf sich gezogen hat, könnte Lazarus demnach eher schaden als nutzen.

Mit Agenturen

© manager magazin 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung