Krypto-Trojaner WannaCry: Experten uneins über Herkunft

Michael Schäfer 21 Kommentare
Krypto-Trojaner WannaCry: Experten uneins über Herkunft
Bild: pixelcreatures | CC0 1.0

Den letzten Meldungen zufolge ist Deutschland bei den bisherigen Angriffen des Krypto-Trojaner WannaCry glimpflich davon gekommen. Über die Urheber des Schädlings herrscht nach wie vor Uneinigkeit. Manche Experten vermuten, dass Nordkorea hinter dem Angriff steckt. Die Indizienlage ist aber dünn und umstritten.

Urheber nach wie vor unbekannt

Obwohl der Supergau am Ende verhindert werden konnte, schaffte es WannaCry am letzten Wochenende mehr als 200.000 Systeme in über 150 Ländern zu infizieren. Für Deutschland ging die erste Angriffswelle glimpflich aus, auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) kam in einer aktualisierten Pressemitteilung zum gleichen Ergebnis. Laut diesem belegt Deutschland auf der Schädigungsskala lediglich Platz 13. Für eine Entwarnung ist es jedoch noch zu früh, so das BSI. Die Lage werde weiterhin intensiv beobachtet, ein Anstieg durch eine befürchtete zweite Angriffswelle mit Beginn der neuen Arbeitswoche ließ sich aber nicht feststellen. Die Regierungsnetze seien von dem Angriff weiterhin nicht betroffen.

Deutsche Bahn besonders betroffen

Am schwersten hat es nach wie vor die Deutsche Bahn mit zahlreichen infizierten Rechnern getroffen, darunter viele, die für die Darstellung auf Anzeigetafeln zuständig sind. Da diese nicht zentral gesteuert werden, kann eine Wiederherstellung des Normalzustandes noch einige Tage in Anspruch nehmen. Es liegt aber auch im Bereich des Möglichen, dass sich geschädigte Unternehmen aus Angst vor Rufschädigungen mit Meldungen zunächst zurück halten.

Wer hinter den Angriffen steckt, ist bis dato unbekannt. Sicherheitsexperten von Kaspersky und Symantec haben mittlerweile den Schadcode untersucht und darin Parallelen zum Hackerangriff auf Sony im November 2014 gefunden. Damals erbeutete eine mit „Lazarus“ betitelte Hacker-Gruppe, der darüber hinaus auch Kontakte nach Nordkorea nachgesagt werden, private Krypto-Schlüssel, Finanzberichte, Passwörter sowie Kopien von Pässen der Mitarbeiter.

Lange Zeit blieb die eigentliche Motivation hinter dem Angriff im dunklen, bis die Hacker einige Wochen später forderten, dass der Film „The Interview“ – eine Polit-Satire über ein Mordkomplott an dem nordkoreanischen Diktator Kim Jong Un – nicht in die Kinos gelangen soll. Dies bestätigten auch Dokumente, welche im April 2015 durch WikiLeaks an die Öffentlichkeit gelangten. Damals geriet Nordkorea zum ersten Mal in den Verdacht, für die Angriffe verantwortlich zu sein.

Die Spur soll nach Nordkorea führen ...

Und auch jetzt rückt das Land durch WannaCry wieder in den Fokus des Geschehens: So soll IT-Experte Eric Chien in einer frühen Version des Schädlings Code-Teile gefunden haben, welche sowohl beim Sony-Hack wie auch beim Angriff auf die Zentralbank in Bangladesch im vergangenen Jahr eine Rolle gespielt haben. Die Gemeinsamkeit der Code-Teile wird auch vom Google-Sicherheitsforscher Neel Mehta bestätigt.

Für einen politisch motivierten Angriff aus Nordkorea spricht für manche Experten die geringe Ausbeute bei bedeutsamen Schaden. So soll die Schadsoftware von vorneherein auf größtmögliches Chaos ausgelegt worden sein und die Geldforderungen nur zur Verschleierung dienen. Das Bitdefender-Analyseteam zählte laut einer Pressemitteilung bis Stand 11.25 Uhr lediglich sieben Wallets mit einer Summe von 41,54 Bitcoins, was knapp über 72.000 US-Dollar entspricht.

Ein weiterer Grund wird darin gesehen, dass mit Europa, Asien, Russland und den USA viele verschiedene Länder von dem Angriff betroffen sind, die zumindest zu den Zielen eines Angriffes aus Nordkorea gehören könnten.

... oder auch nicht

Symantec und Kaspersky betonen jedoch, dass es sich bei den gefundenen Hinweisen lediglich um Indizien handelt, welche nicht als Beweise verwendet werden können. Gegen die Nordkorea-Theorie spricht für manche Fachleute die amateurhafte Zusammensetzung des Schädlings aus öffentlich zugänglichen Code-Fragmenten sowie die Umsetzung des Angriffes und dessen Verhinderung an der Ausbreitung per Notaus-URL. Die Experten von Bitdefender gehen aufgrund der geringen Ausbeute ebenfalls eher von Amateuren als von einem staatlich unterstützen Angriff aus. Ungewöhnlich ist zudem, dass Zahlungswillige zum Entschlüsseln der Daten direkt mit den Angreifern in Kontakt treten müssen. In der Vergangenheit war Ransomware in der Regel automatisiert.

Ebenfalls im Bereich des Möglichen liegt die Theorie, dass durch die Wiederverwertung von Code-Teilen eine Fährte in die falsche Richtung gelegt werden sollte.