HOME

Weltweite Attacke: Neuer Erpressungs-Trojaner: Die Spur führt nach Nordkorea

Hunderttausende Rechner in mehr als 150 Ländern: Die Wannacry-Attacke ist einer der größten Hacks der letzten Monate. Wer dahinter steckt, ist bislang nicht bekannt. Ein Forscher entdeckte nun einen Hinweis in einem zwei Jahre alten Code-Schnipsel - dahinter könnten alte Bekannte stecken.

Britische Krankenhäuser, Anzeigetafeln der Deutschen Bahn, das russische Innenministerium: Der Erpressungstrojaner Wannacry legte am Wochenende weltweit Hunderttausende Rechner in 200.000 Organisationen lahm. Insgesamt wurde die Schadsoftware in mehr als 150 Ländern entdeckt. Erst nachdem ein 22-jähriger Brite eine Schwachstelle entdeckte, wurde die weitere Ausbreitung eingedämmt. Nun fahnden Behörden auf der ganzen Welt nach den Wannacry-Machern - die kommen möglicherweise aus Nordkorea.

Verräterischer Code-Schnipsel

Neel Mehta, der als Sicherheitsforscher bei Google tätig ist, entdeckte eine 100-prozentige Übereinstimmung im Programmcode zwischen einer Vorgänger-Version von Wannacry (Stand Februar) und dem Trojaner Contopee aus dem Jahr 2015. Letzterer wurde von der Lazarus-Gruppe entwickelt, einem nordkoreanischen Zusammenschluss von Hackern. Der soll auch hinter dem Sony-Hack aus dem Jahr 2014 stecken, bei dem zahlreiche interne Dokumente und bis dahin unveröffentlichte Filme im Netz veröffentlicht wurden - darunter die Komödie "The Interview", in der es um die Ermordung des nordkoreanischen Diktators Kim Jong-un geht.

Bekannte IT-Sicherheitsfirmen wie Kaspersky und Symantec sowie US-Geheimdienste gehen ebenfalls davon aus, dass die Lazarus-Gruppe sowohl hinter dem Hack auf Sony Pictures Entertainment als auch einem weiteren Angriff auf das Banking-System Swift steckt.

Ist es eine falsche Fährte?

Das übereinstimmende Code-Fragment ist die derzeit heißeste Spur, bislang aber nur ein Indiz und kein endgültiger Beweis, dass Pjöngjang hinter der weltweiten Trojaner-Attacke steckt. Es sei möglich, aber "unwahrscheinlich", dass die Hacker ihren Code aus bereits existierenden Programmen zusammenkopiert haben, um falsche Spuren zu legen, schreiben die Kaspersky-Experten. Denn in der jetzigen Version, die weltweit die Rechner infizierte, wurde der verräterische Code-Schnipsel wieder entfernt. Um sicher zu gehen, benötigen die Ermittler aber noch Wochen oder gar Monate.

cf