WannaCry: Hinweise auf Lazarus-Gruppe

Seit der Erpressungstrojaner WannaCry hunderttausende Computer befiel, blühen die Spekulationen zu den Hintermännern durchs Web. Wer ist der Urheber des Erpressungstrojaners WannaCry? Steckt Nordkorea dahinter? Waren es die Russen, oder die Chinesen?


Anzeige

Waren es die Nordkoreaner?

Vor fünf Tagen konnte man lesen, dass Sicherheitsforscher starke Indizien gefunden haben, dass die Urheber von WannaCry in Nordkorea sitzen. Dies wird von der dortigen Regierung aber strikt von sich gewiesen. Ursache dürften Parallelen von Angriffen sein, die der Lazarus-Hackergruppe zugeschrieben werden (siehe auch).

Hinweise auf Lazarus-Gruppe

Von Symantec gibt es diesen Artikel, der sich mit Hinweisen befasst, dass der Angriff Parallelen zu weiteren Hacks bei Sony Pictures und beim Angriff auf die Zentralbank von Bangladesh (siehe Bankraub in modern: Zentralbank-Konto geplündert) aufweist. Hintergrund ist, dass eine erste Version von WannaCry im Februar und März 2017 auftauchte (Ransomware WannaCry befällt tausende Computer weltweit), die durch die Sicherheitsspezialisten analysiert wurde. Dabei fiel auf, dass Tools und Techniken, die von der Lazarus-Hackergruppe benutzt wurden, zum Einsatz kam. Diese Hackergruppe wird häufiger mit Nordkorea in Verbindung gebracht.

Ergänzung: Dieser Artikel bei Bleeping Computer zementiert die Vermutung, dass Nordkorea hinter der Lazarus-Gruppe steckt. Ansatzpunkt ist, dass es dem russischen Sicherheitsanbieter Group-B gelungen ist, aus verschiedenen Hacks, die der Gruppe zugeschrieben werden, Gemeinsamkeiten herauszufinden. Dabei gelang es auch, die IP-Adresse von Master-C&C-Servern, die zur Kontrolle der Malware benutzt wurden, zu ermitteln. Ein Server steht in China, wird aber wohl Nordkorea im Hinblick auf die Benutzung zugeschrieben. Ein zweiter Master-C&C-Server ließ sich direkt Nordkorea zuordnen.

Stecken Chinesen dahinter?

Dann jagte vor drei Tagen die Meldung durchs Internet, dass eine Sprachanalyse der Texte durch Analysten des Sicherheitsanbieters Flashpoint Indizien lieferte, dass chinesische Urheber hinter dem Trojaner stecken. Dazu hat man bei Flashpoint die Texte, die der Trojaner in verschiedenen Sprachen anzeigt, analysiert.

Dabei fiel auf, dass sich die in traditioneller und vereinfachter chinesischen Schrift verfassten Versionen der Texte signifikant von den Texten in anderen Sprachen unterscheiden. Fasst alle Texte, bis auf die chinesischen, stellten sich als Übersetzung durch Google Translate heraus, schreibt Flashpoint.

Bei Kaspersky findet sich dieser Artikel zum Thema. Auch Bleeping Computer hat hier was zu geschrieben. Quintessenz dieser Artikel: Vermutlich ist kein Koreaner an der Erstellung der Texte beteiligt gewesen.

Schluss aus diesen Mutmaßungen: Nix genaues weiß man nicht. Wird spannend sein, zu verfolgen, ob da noch Urheber ausfindig gemacht werden können. Das Ganze ist ähnlich unergiebig wie der Versuch in diesem Artikel, die Shadow Brokers zu identifizieren.

Ähnliche Artikel:
Bankraub in modern: Zentralbank-Konto geplündert
Sicherheitsthemen zum 31. Mai 2016
10 $ Switch ermöglichte 80 Millionen-Zentralbank-Konto-Hack
Ransomware WannaCry befällt tausende Computer weltweit
Malwarebytes-Analyse: Wie sich WannaCry verbreitete


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu WannaCry: Hinweise auf Lazarus-Gruppe

  1. RPMX sagt:

    Der Gärtner ist immer der Täter! xD

  2. Kim O. Fee sagt:

    "Fasst alle Texte, bis auf die chinesischen, stellten sich als Übersetzung durch Google Translate heraus […]"

    Fast schon zu billig, um nicht wahr zu sein … (auch "Schlitzaugen" können um mehrere Ecken herumlinsen, um Einblicke zu verschleiern … ;-) )
    Wir werden "sehen" bzw.: sollten sich die Analysen als richtig erweisen, wird niemand zur Rechenschaft gezogen … (vllt. maximal ein "Bauernopfer" aus Gründen der Staatsräson)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.