Seit der Erpressungstrojaner WannaCry hunderttausende Computer befiel, blühen die Spekulationen zu den Hintermännern durchs Web. Wer ist der Urheber des Erpressungstrojaners WannaCry? Steckt Nordkorea dahinter? Waren es die Russen, oder die Chinesen?
Anzeige
Waren es die Nordkoreaner?
Vor fünf Tagen konnte man lesen, dass Sicherheitsforscher starke Indizien gefunden haben, dass die Urheber von WannaCry in Nordkorea sitzen. Dies wird von der dortigen Regierung aber strikt von sich gewiesen. Ursache dürften Parallelen von Angriffen sein, die der Lazarus-Hackergruppe zugeschrieben werden (siehe auch).
Hinweise auf Lazarus-Gruppe
Von Symantec gibt es diesen Artikel, der sich mit Hinweisen befasst, dass der Angriff Parallelen zu weiteren Hacks bei Sony Pictures und beim Angriff auf die Zentralbank von Bangladesh (siehe Bankraub in modern: Zentralbank-Konto geplündert) aufweist. Hintergrund ist, dass eine erste Version von WannaCry im Februar und März 2017 auftauchte (Ransomware WannaCry befällt tausende Computer weltweit), die durch die Sicherheitsspezialisten analysiert wurde. Dabei fiel auf, dass Tools und Techniken, die von der Lazarus-Hackergruppe benutzt wurden, zum Einsatz kam. Diese Hackergruppe wird häufiger mit Nordkorea in Verbindung gebracht.
Ergänzung: Dieser Artikel bei Bleeping Computer zementiert die Vermutung, dass Nordkorea hinter der Lazarus-Gruppe steckt. Ansatzpunkt ist, dass es dem russischen Sicherheitsanbieter Group-B gelungen ist, aus verschiedenen Hacks, die der Gruppe zugeschrieben werden, Gemeinsamkeiten herauszufinden. Dabei gelang es auch, die IP-Adresse von Master-C&C-Servern, die zur Kontrolle der Malware benutzt wurden, zu ermitteln. Ein Server steht in China, wird aber wohl Nordkorea im Hinblick auf die Benutzung zugeschrieben. Ein zweiter Master-C&C-Server ließ sich direkt Nordkorea zuordnen.
Stecken Chinesen dahinter?
Dann jagte vor drei Tagen die Meldung durchs Internet, dass eine Sprachanalyse der Texte durch Analysten des Sicherheitsanbieters Flashpoint Indizien lieferte, dass chinesische Urheber hinter dem Trojaner stecken. Dazu hat man bei Flashpoint die Texte, die der Trojaner in verschiedenen Sprachen anzeigt, analysiert.
Anzeige
Dabei fiel auf, dass sich die in traditioneller und vereinfachter chinesischen Schrift verfassten Versionen der Texte signifikant von den Texten in anderen Sprachen unterscheiden. Fasst alle Texte, bis auf die chinesischen, stellten sich als Übersetzung durch Google Translate heraus, schreibt Flashpoint.
Bei Kaspersky findet sich dieser Artikel zum Thema. Auch Bleeping Computer hat hier was zu geschrieben. Quintessenz dieser Artikel: Vermutlich ist kein Koreaner an der Erstellung der Texte beteiligt gewesen.
Schluss aus diesen Mutmaßungen: Nix genaues weiß man nicht. Wird spannend sein, zu verfolgen, ob da noch Urheber ausfindig gemacht werden können. Das Ganze ist ähnlich unergiebig wie der Versuch in diesem Artikel, die Shadow Brokers zu identifizieren.
Ähnliche Artikel:
Bankraub in modern: Zentralbank-Konto geplündert
Sicherheitsthemen zum 31. Mai 2016
10 $ Switch ermöglichte 80 Millionen-Zentralbank-Konto-Hack
Ransomware WannaCry befällt tausende Computer weltweit
Malwarebytes-Analyse: Wie sich WannaCry verbreitete
Anzeige
Der Gärtner ist immer der Täter! xD
"Fasst alle Texte, bis auf die chinesischen, stellten sich als Übersetzung durch Google Translate heraus […]"
Fast schon zu billig, um nicht wahr zu sein … (auch "Schlitzaugen" können um mehrere Ecken herumlinsen, um Einblicke zu verschleiern … ;-) )
Wir werden "sehen" bzw.: sollten sich die Analysen als richtig erweisen, wird niemand zur Rechenschaft gezogen … (vllt. maximal ein "Bauernopfer" aus Gründen der Staatsräson)