Kaspersky: WannaCry könnte von der Lazarus-Gruppe stammen

Sicherheitsforscher haben Hinweise darauf gefunden, dass die ominöse Hackergruppe Lazarus hinter der weltweiten Ransomware-Attacke WannaCry stecken könnte. Lazarus wurde durch den Angriff auf Server von Sony Pictures bekannt, soll von Nordkorea aus operieren und sich zuletzt zunehmend auf Cyber-Bankraub kapriziert haben.

Den ersten Hinweis machte Google-Sicherheitsforscher Neel Mehta mit einem Tweet öffentlich. Mit dem Hashtag #WannaCryptAttribution wies er auf übereinstimmenden Code hin, der sowohl in einer frühen Version von WannaCry als auch in einer als Contopee bekannten Schadsoftware zu finden war. Letztere war schon zuvor Lazarus zugeordnet worden und kam bei Cyberangriffen auf Banken in Bangladesch und Vietnam zum Einsatz, bei denen zweistellige Millionenbeträge erbeutet wurden.

Die russische Sicherheitsfirma Kaspersky folgte der Spur und analysierte die Ähnlichkeiten in den Code-Beispielen. Sie vergleichen Code des Verschlüsselungstools aus einer Variante von WannaCry, die schon im Februar 2017 in Umlauf war, mit Lazarus-Code aus demselben Monat – und stießen auf eindeutige Übereinstimmungen. Daher sei wahrscheinlich, dass dieselben Personen den WannaCry-Code kompilierten – oder sie zumindest Zugang zum Quellcode der anderen Malware hatten.

Für die Sicherheitsforscher liegt damit nahe, dass Lazarus und damit Nordkorea auch hinter der Ransomware WannaCry stehen, die innerhalb weniger Tage weltweit für die Verschlüsselung von über 200.000 Computern sorgte und die Opfer zur Zahlung eines Lösegelds von jeweils 300 bis 600 Dollar erpresste. Für eindeutig bewiesen halten sie es allerdings noch nicht. Theoretisch könnten auch andere Hacker damit absichtlich eine falsche Spur gelegt haben, auch wenn das sehr unwahrscheinlich sei.

„Jetzt sind weitere Untersuchungen von älteren WannaCry-Versionen erforderlich“, schreiben die Sicherheitsexperten in einem Blogeintrag. „Wir glauben, das könnte der Schlüssel sein, um einige der Rätsel rund um diese Attacke zu lösen. Eines ist sicher – Neel Mehtas Entdeckung ist der wichtigste Anhaltspunkt hinsichtlich des Ursprungs von WannaCry.“

Auch die Sicherheitsfirma Symantec fand unabhängig davon weitere Code-Übereinstimmungen, ist aber noch nicht bereit zu weitergehenden Schlussfolgerungen: „Während diese Verbindungen bestehen, stellen sie bislang nur schwache Verbindungen dar. Wir forschen weiterhin nach stärkeren Verbindungen.“

Bitdefender hingegen schließt sich den Vermutungen gar nicht an. Die Analyse des Bitdefender-Forensik-Teams zeige vielmehr, dass die kriminelle Gruppe hinter der Attacke eher aus Amateuren bestehe und es sich nicht um ein staatlich unterstütztes Team handle. Das Hinzufügen von vier neuen Wallets für Ransomware-Zahlungen könnte auch bedeuten, dass weitere kriminelle Gruppen an die erste WannaCry-Welle andocken und diese „Huckepack für sich nutzen wollen“.

Simon Choi von der südkoreanischen Sicherheitsfirma Hauri Labs bestätigte die gefundenen Übereinstimmungen gegenüber Reuters. „Es ähnelt den bösartigen Backdoor-Programmen Nordkoreas“, sagte der Sicherheitsforscher, der sich schon länger intensiv mit den Hacking-Potentialen Nordkoreas beschäftigt und südkoreanische Behörden berät. Laut Reuters halten amerikanische und europäische Geheimdienstmitarbeiter derzeit noch nicht für möglich, die WannyCry-Hintermänner zu identifizieren, schließen aber Nordkorea als Urheber der Ransomware nicht aus.

Die Lazarus-Hacker sollen schon seit 2009 aktiv sein, wurden aber vor allem durch den erfolgreichen Hacker-Angriff auf Sony Pictures im November 2014 bekannt. Die Regierung Obama machte für den Einbruch, bei dem unveröffentlichte Spielfilme und auch E-Mail-Postfächer von Sony-Top-Managern entwendet wurden, die nordkoreanische Regierung verantwortlich. Auslöser soll die Komödie „The Interview“ gewesen sein, die ein fiktives Attentat auf den nordkoreanischen Staatschef Kim Jong-Un beschreibt.

Für Sony hatte der Einbruch in seine Server verheerende Folgen. Unter anderem tauchten Sozialversicherungsnummern von 47.000 Angestellten und Mitarbeitern im Internet auf, darunter auch die Daten von Schauspielern wie Sylvester Stallone und Rebel Wilson. Allein für die „Erforschung und Behebung“ des Vorfalls plante Sony im Februar 2015 Ausgaben in Höhe von 15 Millionen Dollar ein.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.