Sony, Swift - und jetzt "Wannacry"? So arbeitet die Hackergruppe Lazarus

Wer ist für den "Wannacry"-Angriff vom Wochenende verantwortlich? Diese Frage führt zu zahlreichen Spekulationen. Experten sehen Spuren zu einer mit Nordkorea in Verbindung gebrachten Hackergruppe.

Nach dem weltweiten Hackerangriff mit Erpressersoftware vom Wochenende überschlagen sich die Spekulationen, wer für die "Wannacry"-Attacke verantwortlich sein könnte. Einige Experten sehen eine Spur nach Nordkorea.

Es gebe Verbindungen zu der Hackergruppe Lazarus, die für den Angriff verantwortlich sein könnte, teilten die Sicherheitsfirmen Symantec und Kaspersky unabhängig voneinander mit. Beide Firmen berufen sich auf Indizien, die in dem Schadcode des Programms gefunden wurde. Kaspersky zufolge weisen Ähnlichkeiten in den Codes auf Lazarus hin.

Auch Symantec zufolge gebe es in von Lazarus genutzten Angriffswerkzeugen und "Wannacry" gemeinsam genutzte Codesequenzen. Die US-Sicherheitsfirma hat zudem auf Rechnern, die von früheren Versionen des "Wannacry"-Trojaners befallen wurden, Werkzeuge gefunden, die bisher exklusiv von Lazarus genutzt  worden sein sollen.

Die Schadsoftware mit dem Namen "WannaCry" hatte sich über das Wochenende auf mehr als 200.000 Ziele in rund 150 Ländern verbreitet und alle Daten auf den infizierten Rechnern verschlüsselt. Sie sollten erst nach Zahlung eines Lösegelds wieder freigeschaltet werden.. Der Cyberangriff hatte am Freitag begonnen und Banken, Krankenhäuser und Regierungsbehörden getroffen. Auch zahlreiche Unternehmen zählten zu den Zielen, darunter die Deutsche Bahn, der Automobilkonzern Renault, und der Telefonkonzern Telefónica. Auch das russische Innenministerium war betroffen.

Angriffe auf Sony und Swift

Die Hackergruppe Lazarus wird mit einigen spektakulären Cyberangriffen in Verbindung gebracht. So soll Lazarus sich Erkenntnissen von Kaspersky zufolge  zunächst auf Cyperspionage und -sabotage beschränkt haben.

Das erste Mal erregte die Gruppe demnach im Jahr 2014 große Aufmerksamkeit. Lazarus soll hinter der Attacke auf Sony Pictures stecken. Dabei kopierten die Täter mehrere Terabyte Daten aus dem Netzwerk der Sony-Tochter. Darunter befanden sich private Informationen und Telefonnummern von Hollywood-Stars. Außerdem waren E-Mail-Wechsel des Managements mit teils brisantem Inhalt dabei. Anschließend wurden die befallenen Festplatten gelöscht.

Fotostrecke

Von Yahoo bis LinkedIn: Das sind die größten Hackerangriffe

Foto: NOAH BERGER/ REUTERS

Die Hacker stellten später Teile der erbeuteten Daten ins Netz, was für Sony Pictures einen riesigen Imageschaden bedeutete. Damals hatten viele Experten nordkoreanische Hacker hinter dem Angriff vermutet. Er soll die Rache für den Sony-Film "The Interview" gewesen sein, der sich über den nordkoreanischen Machthaber Kim Jong Un lustig machte.

Belegt ist der Zusammenhang mit Nordkorea bisher nicht, Sony Pictures wurde aber von Unbekannten erpresst, den Film nicht zu veröffentlichen. Schließlich wurde der Kinostart abgesagt.

Von der Sabotage zur Geldbeschaffung

Kaspersky zufolge soll sich Lazarus in jüngster Zeit auch der Beschaffung von finanziellen Mitteln zugewandt haben. "Wir glauben, dass Lazarus eine ziemlich große Gruppe ist und hauptsächlich Infiltration und Spionage betreibt", heißt es in dem Blogeintrag des Sicherheitsdienstleisters. Ein wesentlich kleinerer Teil der Gruppe sei für finanzielle Profite verantwortlich.

Die Gruppe hätte dabei folgende Ziele im Visier:

  • Finanzinstitutionen
  • Casinos
  • Unternehmen, die Software für den Finanzhandel entwickeln
  • Digitalwährungen

So wird Lazarus auch für die Attacke auf das Bankensystem Swift  verantwortlich gemacht, bei dem im Februar 2016 Unbekannte versucht hatten, 851 Millionen Dollar von der Zentralbank von Bangladesch zu stehlen.

Die Attacke begann offenbar mit dem Einschleusen von Trojanern in das Bankensystem des Landes. Erkenntnissen der Sicherheitsfirma Symantec zufolge wurden für den eigentlichen Angriff Überweisungsbelege gefälscht. Die genutzte Schadsoftware habe dabei Mitteilungen über betrügerische Transaktionen unterdrückt und so dafür gesorgt, dass der Angriff lange unentdeckt blieb.

Tippfehler verhindert Schlimmeres

Bei der Attacke erbeuteten die Angreifer 81 Millionen Dolllar. Dass es nicht mehr wurde, lag an einem kleinen Tippfehler. Die Überweisung sollte an eine Stiftung in Sri Lanka gehen, aber statt "foundation" schrieben sie "fandation". Dies veranlasste einen Mitarbeiter der für die Abwicklung zuständigen Deutschen Bank zu einer Nachfrage bei der Zentralbank von Bangladesh, die daraufhin weitere Zahlungen stoppte.

Symantec fand in dem Programmcode , der für den Swift-Angriff genutzt wurde, bestimmte Merkmale, die auch bei der Schadsoftware aus dem Sony-Angriff auftauchten. Auch bei Hackerangriffen auf Banken und Medien in Südkorea im Jahr 2013 sei ein ähnlicher Code zum Einsatz gekommen.

Angriff auf polnische Bankenaufsicht

Im Februar dieses Jahres wurden mehrere polnische Banken Ziel von Cyberattacken, bei denen zahlreiche Daten erbeutet wurden. Der Angriff zielte offenbar zunächst auf die polnische Bankenaufsichtsbehörde  ab, deren Webseite infiziert wurde. Der Schadcode versuchte, ausgesuchte Besucher dieser Webseite ebenfalls mit Schadsoftware zu infizieren.

Auch bei diesem Angriff sieht Kaspersky Parallelen zu Lazarus. Beim Zugriff auf einen der Server, den die Gruppe in Europa genutzt haben soll, sei auch eine nordkoreanische IP-Adresse verwendet worden, was in solchen Fällen extrem selten sei, heißt es bei Kaspersky. Der Server sei auch genutzt worden, um die Kryptowährung Monero zu generieren. Das habe ihn zum Absturz gebracht und sei möglicherweise der Grund gewesen, dass die Login-Dateien von den Hackern nicht gelöscht worden seien.

Professionelle Organisation

Laut Kaspersky ist die Lazarus-Gruppe sehr professionell organisiert. Ihr Vorgehen gehe weit über das bei Cyberkriminellen übliche Maß hinaus. Sowohl ihre Angriffstechniken als auch der Umgang mit infizierten Systemen lasse auf eine große Organisation schließen. "Wir glauben, dass Lazarus in den nächsten Jahren eine der größten Gefahren für den Bankensektor, Finanz- und Handelsgesellschaften sowie Casinos darstellen wird", heißt es.

Verbindungen zwischen Lazarus und Nordkorea sind aber bisher ebenso vage, wie die Indizien, die auf eine Täterschaft der Gruppe bei der "Wannacry"-Attacke hindeuten.

Auch die Sicherheitsfirmen weisen darauf hin, dass die Übereinstimmungen im Programmcode kein Beweis für eine Täterschaft von Lazarus seien. Die Codesequenz könnte auch genutzt worden sein, um eine falsche Spur zu legen. Möglicherweise haben die Angreifer sie auch nur kopiert, um sich so Arbeit zu sparen. Es gebe allerdings genügend Hinweise, die eine weitere Untersuchung rechtfertigen würden, schreibt beispielsweise Symantec.

Amateure am Werk?

Einige Experten sind dagegen der Meinung, dass der "Wannacry"-Angriff von Amateuren ausgegangen sein könnte. Dafür spreche, dass eine Reihe von Programmierfehlern die Erpressungssoftware ausgebremst haben dürfte.

So hatte das Schadprogramm einen eingebauten "Ausschaltknopf", der den Infektionsweg stoppen konnte. Ein britischer IT-Spezialist hatte ihn gefunden und so am Wochenende die weitere Ausbreitung beendet. Außerdem sind die für die Angriffe genutzten Werkzeuge allesamt im Internet erhältlich. Hacker hatten den Schadcode vor einigen Wochen vom US-Geheimdienst NSA entwendet und veröffentlicht.

Auch das vergleichsweise geringe Lösegeld, das die Angreifer über die digitale Währung Bitcoin vermutlich erbeuten dürften, gilt als Indiz für mangelnde Professionalität. Zumal von dem Angriff nur Computersysteme betroffen waren, die nicht bereits mit dem seit März erhältlichen Patch abgesichert waren.

Dieser Punkt könnte auch gegen Vermutungen sprechen, Nordkorea stecke hinter der Attacke. "Kim Jong Un will Milliarden bewegen und sich nicht tröpfchenweise ernähren", sagte der Sicherheitsexperte Christoph Fischer der Nachrichtenagentur dpa.

Diese Einschätzung bestätigt letztlich auch die Untersuchung der Lazarus-Gruppe durch Kaspersky. Die Gruppe möchte lieber anonym große Geldmengen erbeuten und keine Spuren hinterlassen, unabhängig davon, ob irgendeine Verbindung zu Nordkorea besteht. Die Aufmerksamkeit, die die "Wannacry"-Attacke auf sich gezogen hat, könnte Lazarus demnach eher schaden als nutzen.

Mit Agenturen
Die Wiedergabe wurde unterbrochen.