Weltweiter Hackerangriff So arbeiten die "WannaCry"-Jäger

Die Erpressersoftware "WannaCry" hat weltweit Schaden angerichtet. Eine Spur führt nach Nordkorea, sagen Sicherheitsexperten. Doch wie kommen sie zu dem Verdacht? Einblicke in die digitale Detektivarbeit.

Arbeiten am Computer (Symbolbild)
imago

Arbeiten am Computer (Symbolbild)

Von , und


Wenig Zeit? Am Textende gibt's eine Zusammenfassung.


Lösegeldforderungen auf den Anzeigetafeln an deutschen Bahnhöfen, britische Krankenhäuser und mehrere Renault-Werke lahmgelegt: Seit vergangenem Freitag sorgt die "WannaCry"-Attacke rund um den Globus für Aufregung. Sie gilt mittlerweile als der bislang größte Angriff mit Erpressersoftware.

Für Mitarbeiter von großen IT-Sicherheitsfirmen wie Kaspersky, Symantec und FireEye war wohl sofort klar: Es gibt Arbeit. Mit dem wachsenden Schaden der Attacke wuchs auch der öffentliche Druck auf diese Experten, möglichst bald die zentralen Frage zu beantworten: Was genau ist da passiert? Wie hätte sich das verhindern lassen? Und vor allem: Wer war es denn nun?

Es dauerte rund vier Tage, dann machte ein erster Verdacht die Runde, wer hinter der Erpressersoftware steckt: Nordkorea. Die "Lazarus-Gruppe", die Verbindungen zu dem Land haben soll, könnte es gewesen sein, mutmaßte ein Sicherheitsforscher der Firma Symantec in der "New York Times". Die Gruppe ist für die Schadsoftware-Jäger ein alter Bekannter. Sie gilt auch als verantwortlich für die Attacke gegen Sony vor knapp drei Jahren und einen Angriff auf die Zentralbank in Bangladesch 2016.

Wie aber gelangen Forscher überhaupt zu solchen Schlüssen? Und wie eindeutig sind ihre Einschätzungen? Auf die "Lazarus-Gruppe" etwa deutet bislang vor allem ein Stück Code hin. Es könnten aber auch andere Hacker eine falsche Fährte gelegt haben, um den Verdacht von sich abzulenken.

Um zu verstehen, wie IT-Sicherheitsexperten arbeiten, muss man wissen: Softwareentwicklung ist ein Prozess, bei dem es viele - bereits funktionsfähige - Zwischenergebnisse gibt. Die werden immer weiter verbessert, kopiert oder als Steinbruch für neue Codes genutzt.

Um solches Code-Recycling zu erkennen, hat zum Beispiel die russische Firma Kaspersky - ähnlich wie ihre Konkurrenz aus anderen Ländern oder auch Großkonzerne wie Google - riesige Datenbanken mit Millionen Einträgen an Schadsoftware-Schnipseln aufgebaut. Für jeden Code-Schnipsel ist darin genau notiert, wann er entdeckt wurde und aus welcher Quelle er stammt.

Die Sammlung speist sich aus Beispielen, die Firmenkunden an Kaspersky weitergeben, erklärt Costin Raiu. Dazu kommen aber auch Einsendungen von Privatleuten, die Probleme mit ihren Computern haben. Raiu ist bei Kaspersky Leiter der globalen Forschungs- und Analyseeinheit.

Taucht eine neue Software-Variante auf, jagen die Experten sie durch ein Abgleichprogramm, um in der Datenbank nach Vorgänger-Versionen zu fahnden. Man kann sich die Arbeit von Leuten wie Raiu so vorstellen wie die eines Plagiatjägers: Ausgehend von einem aktuellen Beispiel suchen sie nach möglichen Vorbildern.

"Blackout"-Autor Elsberg im Video-Interview: "Das war erst der Anfang!"

Clemens Lechner

Kaspersky ist laut Raiu im Besitz Tausender Proben von "WannaCry". Der Quellcode für das ganze Programm ist dem Unternehmen zufolge aber noch nicht bekannt, den kennen nur die Angreifer.

Durch einen öffentlichen Hinweis von Google-Forscher Neel Mehta auf Twitter kamen Raiu und Experten anderer Firmen bei ihren Ermittlungen voran. Bisher gibt es vier zentrale Erkenntnisse:

  • Eine erste Version, "WannaCry 1.0", kennen Digital-Forensiker wie Raiu schon aus dem Februar 2017. Die aktuelle Version der Software nennt Raiu "WannaCry 2.0". Er sagt, sie stamme "ohne jeden Zweifel" von den gleichen Codern und lasse sich über einen gemeinsamen Code-Teil mit der Vorgängerversion in Verbindung bringen. Die Software hat sich verändert, meint Raiu, aber sie trägt immer noch die gleiche, unverkennbare Handschrift.
  • In der früheren "WannaCry"-Version steckt Code für eine sogenannte Hintertür, die Raiu und weitere Experten schon kennen: Beim Abgleich mit seiner Datenbank entdeckte Raiu, dass die Hacker der "Lazarus-Gruppe" diese Hintertür in der Vergangenheit gebaut und eingesetzt haben.
  • Die Hintertür fehlt bei "WannaCry 2.0" zwar. Da aber die ersten beiden Versionen eindeutig in Verbindung gesetzt werden konnten, lässt das den Schluss zu: Die "Lazarus-Gruppe" könnte auch hinter dem jetzt verübten Angriff stecken. Auch Candid Wüest, IT-Experte beim US-Konkurrenten Symantec, sagt, seine Firma habe die entdeckten Funktionen beziehungsweise die Programmabfolge nach Vorbild des "Lazarus"-Codes noch bei keinem anderen Malware-Exemplar gesehen.
  • Analysen von Symantec haben laut Wüest ergeben, dass mehrere Computer, die zuerst mit Malware der "Lazarus-Gruppe" infiziert waren, danach auch mit einer ersten Version von "WannaCry" zu kämpfen hatten. "Dies kann eine zufällige Überschneidung sein, aber ist auch ein weiteres Indiz für einen Zusammenhang."

Spektakuläre Angriffe wie der aktuelle sind für die IT-Sicherheitsfirmen immer auch eine Chance, ihre Arbeit - und ihre Produkte, etwa kommerzielle Antivirensoftware - bekannt zu machen. Digitalforensiker können aber fast nie einfache Antworten geben, das liegt in der Natur ihrer Arbeit. Ihr Vorgehen folgt einer anderen Logik als die der Öffentlichkeit und der Medien. Der "WannaCry"-Angriff zeigt das gerade besonders deutlich.

Generell achten die Malware-Analysten auf verschiedene Faktoren, hier eine Auswahl:

  • IP-Adressen können erste Hinweise auf den Ursprungsort einer Attacke liefern. Eine IP-Adresse ist eine Art Absenderadresse, die auf Datenpakete auf ihrem Weg durchs Netz aufgeklebt wird. Das Problem: Der Ort kann vergleichsweise leicht verschleiert werden, zum Beispiel, indem man Tunnelverbindungen über sogenannte Virtual Private Networks (VPNs) benutzt.
  • Oft lässt sich aus dem Code die Information herauslesen, in welcher Spracheinstellung die Coder an ihren Computern arbeiten. Doch auch hier ist gezielte Täuschung möglich. Tauchen allerdings Tausende Codeschnipsel einer Malware mit derselben Spracheinstellung auf, kann das für die Einschätzungen von Experten wie Raiu von Kaspersky schon eine wichtige Rolle spielen.
  • Über Zeitstempel, die in der Software verborgen sind, können Rückschlüsse über die Arbeitszeiten der Programmierer gewonnen werden. Wer Hunderte Proben analysiert, kann so ein Gefühl dafür bekommen, in welcher Zeitzone die Coder wohl arbeiten, wann ihre Mittagspause ist und wann sie Feierabend machen. Die "Lazarus-Gruppe" etwa arbeite in der Zeitzone, in der auch Nordkorea liegt, sagt Raiu. "Sie arbeiten außerdem immer extrem lange."
  • Laut der japanischen Sicherheitsfirma Trend Micro ist der Code aber oft "nur eine Momentaufnahme": Das Vorgehen der Angreifer, zum Beispiel welche Server genutzt werden, sei oft weitaus aussagekräftiger.
  • Auch die Frage, wer die Opfer der Attacke waren, verrate manchmal etwas über die möglichen Täter, sagt Analyst Richard Hummel von der US-Firma FireEye.

Überschaubares Risiko bei falschen Verdächtigungen

Bei ihrer Detektivarbeit müssen die IT-Forensiker also mühsam viele Indizien zusammentragen und daraus Rückschlüsse ziehen. "Eine hundertprozentige Sicherheit, wer hinter einer Cyberattacke steht, wird es nie geben", sagt Candid Wüest von Symantec, ähnlich äußerte sich Trend Micro.

Auch Raj Samani, Sicherheitsforscher bei McAfee, meint, dass es riskant sei, "nur anhand technischer Indikatoren auf einen Angreifer schließen zu wollen": "Viele arglistige Menschen werden tun, was sie können, um ihre Spuren zu verwischen und es so aussehen zu lassen, als käme der Angriff aus einer anderen Richtung." Trotzdem habe er in der Vergangenheit schon alles gesehen - sogar, dass allein eine IP-Adresse vorgebracht wurde, um einen Angriff zuzuordnen.

Raiu vom Konkurrenten Kaspersky sagt: "Wir treffen niemals die Aussage: Dieses oder jenes Land ist verantwortlich." Die sogenannte Attribution, die Suche nach dem Urheber, sei "hochspekulativ".

Dabei ist das Risiko, sich zu weit aus dem Fenster zu lehnen, überschaubar. Denn selbst falsche Attributionen von Sicherheitsfirmen seien in der heutigen Medienwelt schnell vergessen, heißt es von Trend Micro - mit dem Hinweis, dass das Identifizieren von Angreifern für das firmeneigene Geschäft keine große Rolle spielt. "Stellen sie sich als wahr heraus, kann man im Gegenteil davon profitieren", schreibt die Firma. "Aus Marketingsicht mag es deshalb für den ein oder anderen durchaus Sinn machen, auch provokante Thesen nach außen zu vertreten." Zum Beispiel Nordkorea.


Zusammengefasst: Nach dem "WannaCry"-Angriff wird mit Hochdruck nach Antworten auf die Frage gesucht, wer hinter der Erpressersoftware steckt. IT-Sicherheitsunternehmen sollen sie liefern. Doch ihre Arbeit ist komplex, Ergebnisse selten eindeutig. Im aktuellen Fall deuten bisher nur schwache Indizien um einen Schnipsel Code in Richtung Nordkorea.

Erpresser-Viren - wie kann ich mich schützen?
Seien Sie vorsichtig mit E-Mail-Anhängen
Deaktivieren Sie die Makro-Funktion in Dokumenten, die Sie per E-Mail erhalten. Vor allem bei Nachrichten von fremden Personen sollten Sie vorsichtig sein. "Locky" und andere Ransomware-Trojaner werden nach Angaben von Sicherheitsexperten meist über E-Mail-Anhänge eingeschleust, die sich etwa als harmloses Worddokument tarnen, aber im Hintergrund die gefährliche Software ausführen. Völlige Sicherheit lässt sich so aber nicht erreichen: Auch als "drive-by", also einfach beim Besuch einer Website kann man sich Ransomware einfangen. Es traf sogar schon Leser von Seiten wie Nytimes.com und BBC.com.
Daten per Back-up sichern
Ransomware-Trojaner verschlüsseln Ihre Dateien oft so gut, dass sie dauerhaft unbrauchbar werden. Sichern Sie Ihre Daten also möglichst per Back-up, damit Sie Ihre Dokumente im Notfall wiederherstellen können. Am besten eignet sich dafür eine Festplatte, die nicht ständig mit dem PC verbunden ist, wie eine externe USB-Platte. Auch ein Cloud-Back-up kann sinnvoll sein - das sollte man dann aber sicher verschlüsseln.
Verwenden Sie aktuelle Software
Um Sicherheitslücken zu schließen, sollten Sie möglichst alle Programme auf Ihrem Rechner auf den neuesten Stand bringen. Installieren Sie Patches für den Browser, für Office-Anwendungen und den Flash-Player. Malware-Programme nutzen Sicherheitslücken in dieser Software aus.
Benutzen Sie aktuelle Virenschutz-Software
Die neuesten Versionen der Erpressertrojaner schaffen es zuweilen auch an aktuellen Sicherheitsprogrammen vorbei, aber schon bekannte Varianten kann ein Virenschutzprogramm abfangen. Diverse Anbieter haben auch kostenlose Versionen ihrer Schutzsoftware im Programm, die zumindest einen Basisschutz bieten, und bereits bekannte Virensignaturen erkennen.
insgesamt 21 Beiträge
Alle Kommentare öffnen
Seite 1
sehdarm 17.05.2017
1.
Ein Artikel über WannaCry ganz ohne eine Erwähnung von EternalBlue der NSA? Da bleiben mehr Fragen als Antworten über den Sinn dieser Zusammenfassung.
Grummelchen321 17.05.2017
2. Es bleibt
abzuwarten ob wirklich kims Cyberkrieger dahinter stecken.Die großen Geheimdienste haben heute die Möglichkeit Codes in Programmen so aussehen zu lassen das ein bestimmter Verdacht entsteht.
Der Terraner 17.05.2017
3. Der Dicke also
Nordkorea wird damit für immer mehr für alle zur persönlichen Bedrohung. Dass Nordkorea sich vorwiegend durch illegale Mittel finanziert war ja schon bekannt und dass das Land per Cyberkriminalität Banken ausraubt auch. Die neueste Entwicklung geht aber weit darüber hinaus. Was gedenkt man also zu tun. Es muss doch möglich sein, die verwendete Infrastruktur zu zerstören, auch wenn diese in Nordkorea steht.
poisonnuke 17.05.2017
4. Es gibt Bibliotheken mit Code-Bestandteilen - Baukasten für Viren
Heutzutage gibt es Repositories mit haufenweise lauffähigen Programmbestandteilen, die für eine Virus oder Wurm benötigt werden. Da können auch Programmierer von Lazarus (wer auch immer das sein soll) Sachen hochladen und irgendwer lädt sich das dann runter und verwendet es in einem eigenen Projekt und kombiniert es mit der Sicherheitslücke der NSA. Theoretisch könnte WannaCry von einem Skriptkiddie stammen, das gerade ein paar Sachen ausprobieren wollte. Das würde auch die stümperhafte Anti-Sandbox Maßnahme erklären (der "Kill-Switch" der eigentlich keiner ist). Jeder mit ein wenig IT-Erfahrung hätte also WannaCry erstellen und anonym in Umlauf bringen können. Und Geld will auch jeder. Also ist die Zielgruppe der Verdächtigen enorm groß.
accolon82 17.05.2017
5.
Zitat von sehdarmEin Artikel über WannaCry ganz ohne eine Erwähnung von EternalBlue der NSA? Da bleiben mehr Fragen als Antworten über den Sinn dieser Zusammenfassung.
Es geht hier doch um den Urheber von WannaCry. Ob die Schwachstelle von der NSA stammt, ist dabei völlig unerheblich, denn sie ist ja spätestens seit März öffentlich bekannt und kann von JEDEM ausgenutzt werden.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.