Für Mitarbeiter von großen IT-Sicherheitsfirmen wie Kaspersky, Symantec und FireEye war wohl sofort klar: Es gibt Arbeit. Mit dem wachsenden Schaden der Attacke wuchs auch der öffentliche Druck auf diese Experten, möglichst bald die zentralen Frage zu beantworten: Was genau ist da passiert? Wie hätte sich das verhindern lassen? Und vor allem: Wer war es denn nun?
Es dauerte rund vier Tage, dann machte ein erster Verdacht die Runde, wer hinter der Erpressersoftware steckt: Nordkorea. Die "Lazarus-Gruppe", die Verbindungen zu dem Land haben soll, könnte es gewesen sein, mutmaßte ein Sicherheitsforscher der Firma Symantec in der "New York Times". Die Gruppe ist für die Schadsoftware-Jäger ein alter Bekannter. Sie gilt auch als verantwortlich für die Attacke gegen Sony vor knapp drei Jahren und einen Angriff auf die Zentralbank in Bangladesch 2016.
Wie aber gelangen Forscher überhaupt zu solchen Schlüssen? Und wie eindeutig sind ihre Einschätzungen? Auf die "Lazarus-Gruppe" etwa deutet bislang vor allem ein Stück Code hin. Es könnten aber auch andere Hacker eine falsche Fährte gelegt haben, um den Verdacht von sich abzulenken.
Um zu verstehen, wie IT-Sicherheitsexperten arbeiten, muss man wissen: Softwareentwicklung ist ein Prozess, bei dem es viele - bereits funktionsfähige - Zwischenergebnisse gibt. Die werden immer weiter verbessert, kopiert oder als Steinbruch für neue Codes genutzt.
Um solches Code-Recycling zu erkennen, hat zum Beispiel die russische Firma Kaspersky - ähnlich wie ihre Konkurrenz aus anderen Ländern oder auch Großkonzerne wie Google - riesige Datenbanken mit Millionen Einträgen an Schadsoftware-Schnipseln aufgebaut. Für jeden Code-Schnipsel ist darin genau notiert, wann er entdeckt wurde und aus welcher Quelle er stammt.
Die Sammlung speist sich aus Beispielen, die Firmenkunden an Kaspersky weitergeben, erklärt Costin Raiu. Dazu kommen aber auch Einsendungen von Privatleuten, die Probleme mit ihren Computern haben. Raiu ist bei Kaspersky Leiter der globalen Forschungs- und Analyseeinheit.
Taucht eine neue Software-Variante auf, jagen die Experten sie durch ein Abgleichprogramm, um in der Datenbank nach Vorgänger-Versionen zu fahnden. Man kann sich die Arbeit von Leuten wie Raiu so vorstellen wie die eines Plagiatjägers: Ausgehend von einem aktuellen Beispiel suchen sie nach möglichen Vorbildern.
Kaspersky ist laut Raiu im Besitz Tausender Proben von "WannaCry". Der Quellcode für das ganze Programm ist dem Unternehmen zufolge aber noch nicht bekannt, den kennen nur die Angreifer.
Durch einen öffentlichen Hinweis von Google-Forscher Neel Mehta auf Twitter kamen Raiu und Experten anderer Firmen bei ihren Ermittlungen voran. Bisher gibt es vier zentrale Erkenntnisse:
Eine erste Version, "WannaCry 1.0", kennen Digital-Forensiker wie Raiu schon aus dem Februar 2017. Die aktuelle Version der Software nennt Raiu "WannaCry 2.0". Er sagt, sie stamme "ohne jeden Zweifel" von den gleichen Codern und lasse sich über einen gemeinsamen Code-Teil mit der Vorgängerversion in Verbindung bringen. Die Software hat sich verändert, meint Raiu, aber sie trägt immer noch die gleiche, unverkennbare Handschrift.
In der früheren "WannaCry"-Version steckt Code für eine sogenannte Hintertür, die Raiu und weitere Experten schon kennen: Beim Abgleich mit seiner Datenbank entdeckte Raiu, dass die Hacker der "Lazarus-Gruppe" diese Hintertür in der Vergangenheit gebaut und eingesetzt haben.
Die Hintertür fehlt bei "WannaCry 2.0" zwar. Da aber die ersten beiden Versionen eindeutig in Verbindung gesetzt werden konnten, lässt das den Schluss zu: Die "Lazarus-Gruppe" könnte auch hinter dem jetzt verübten Angriff stecken. Auch Candid Wüest, IT-Experte beim US-Konkurrenten Symantec, sagt, seine Firma habe die entdeckten Funktionen beziehungsweise die Programmabfolge nach Vorbild des "Lazarus"-Codes noch bei keinem anderen Malware-Exemplar gesehen.
Analysen von Symantec haben laut Wüest ergeben, dass mehrere Computer, die zuerst mit Malware der "Lazarus-Gruppe" infiziert waren, danach auch mit einer ersten Version von "WannaCry" zu kämpfen hatten. "Dies kann eine zufällige Überschneidung sein, aber ist auch ein weiteres Indiz für einen Zusammenhang."
Spektakuläre Angriffe wie der aktuelle sind für die IT-Sicherheitsfirmen immer auch eine Chance, ihre Arbeit - und ihre Produkte, etwa kommerzielle Antivirensoftware - bekannt zu machen. Digitalforensiker können aber fast nie einfache Antworten geben, das liegt in der Natur ihrer Arbeit. Ihr Vorgehen folgt einer anderen Logik als die der Öffentlichkeit und der Medien. Der "WannaCry"-Angriff zeigt das gerade besonders deutlich.
Generell achten die Malware-Analysten auf verschiedene Faktoren, hier eine Auswahl:
IP-Adressen können erste Hinweise auf den Ursprungsort einer Attacke liefern. Eine IP-Adresse ist eine Art Absenderadresse, die auf Datenpakete auf ihrem Weg durchs Netz aufgeklebt wird. Das Problem: Der Ort kann vergleichsweise leicht verschleiert werden, zum Beispiel, indem man Tunnelverbindungen über sogenannte Virtual Private Networks (VPNs) benutzt.
Oft lässt sich aus dem Code die Information herauslesen, in welcher Spracheinstellung die Coder an ihren Computern arbeiten. Doch auch hier ist gezielte Täuschung möglich. Tauchen allerdings Tausende Codeschnipsel einer Malware mit derselben Spracheinstellung auf, kann das für die Einschätzungen von Experten wie Raiu von Kaspersky schon eine wichtige Rolle spielen.
Über Zeitstempel, die in der Software verborgen sind, können Rückschlüsse über die Arbeitszeiten der Programmierer gewonnen werden. Wer Hunderte Proben analysiert, kann so ein Gefühl dafür bekommen, in welcher Zeitzone die Coder wohl arbeiten, wann ihre Mittagspause ist und wann sie Feierabend machen. Die "Lazarus-Gruppe" etwa arbeite in der Zeitzone, in der auch Nordkorea liegt, sagt Raiu. "Sie arbeiten außerdem immer extrem lange."
Laut der japanischen Sicherheitsfirma Trend Micro ist der Code aber oft "nur eine Momentaufnahme": Das Vorgehen der Angreifer, zum Beispiel welche Server genutzt werden, sei oft weitaus aussagekräftiger.
Auch die Frage, wer die Opfer der Attacke waren, verrate manchmal etwas über die möglichen Täter, sagt Analyst Richard Hummel von der US-Firma FireEye.
Überschaubares Risiko bei falschen Verdächtigungen
Bei ihrer Detektivarbeit müssen die IT-Forensiker also mühsam viele Indizien zusammentragen und daraus Rückschlüsse ziehen. "Eine hundertprozentige Sicherheit, wer hinter einer Cyberattacke steht, wird es nie geben", sagt Candid Wüest von Symantec, ähnlich äußerte sich Trend Micro.
Auch Raj Samani, Sicherheitsforscher bei McAfee, meint, dass es riskant sei, "nur anhand technischer Indikatoren auf einen Angreifer schließen zu wollen": "Viele arglistige Menschen werden tun, was sie können, um ihre Spuren zu verwischen und es so aussehen zu lassen, als käme der Angriff aus einer anderen Richtung." Trotzdem habe er in der Vergangenheit schon alles gesehen - sogar, dass allein eine IP-Adresse vorgebracht wurde, um einen Angriff zuzuordnen.
Raiu vom Konkurrenten Kaspersky sagt: "Wir treffen niemals die Aussage: Dieses oder jenes Land ist verantwortlich." Die sogenannte Attribution, die Suche nach dem Urheber, sei "hochspekulativ".
Dabei ist das Risiko, sich zu weit aus dem Fenster zu lehnen, überschaubar. Denn selbst falsche Attributionen von Sicherheitsfirmen seien in der heutigen Medienwelt schnell vergessen, heißt es von Trend Micro - mit dem Hinweis, dass das Identifizieren von Angreifern für das firmeneigene Geschäft keine große Rolle spielt. "Stellen sie sich als wahr heraus, kann man im Gegenteil davon profitieren", schreibt die Firma. "Aus Marketingsicht mag es deshalb für den ein oder anderen durchaus Sinn machen, auch provokante Thesen nach außen zu vertreten." Zum Beispiel Nordkorea.
Quelle : spiegel.de
Tags:
