Es läuft gerade ein Theaterstück auf der Weltbühne ab, und das Publikum will den Bösewicht sehen. Die Handlung in Kürze: Eine Malware namens WannaCry befällt Hunderttausende Rechner, verschlüsselt ihre Daten und verlangt Lösegeld. Menschen weltweit sehen dem Spektakel live zu und überschlagen sich mit Fragen: Wer ist betroffen? Wie hoch ist der Schaden? Kann man sich schützen?
Im zweiten Akt taucht ein anonymer Held auf und setzt die Bedrohung mit einem zufällig entdeckten „Kill Switch“ außer Kraft, er gewinnt die Schlacht, aber nicht den Krieg. Denn schon bald taucht WannaCry erneut auf – zeitversetzt auf der ganzen Welt und ohne Aus-Knopf. Weil sich die Leute jetzt so richtig fürchten, explodiert die Nachrichtenlage wie bei kaum einem anderen Tech-Thema zuvor. Auf die Attacken durch den Crypto-Trojaner folgt ein Wirrwar aus unterschiedlichsten Informationen, Theorien und Schuldzuweisungen. Am Montagabend schließlich scheinen die Stränge endlich zusammenzulaufen, als eine Spur zum potenziellen Schuldigen auftaucht. Sie führt nach Nordkorea.
Jedes noch so unbegabte Scriptkiddie könnte den zugrundeliegenden Code neu eintüten und wiederverwenden
„So etwas ist sogar für uns völlig neu“, sagt der Sicherheitsforscher Vicente Diaz. Von seinem Büro in den Kaspersky Labs im Nordosten Moskaus aus hat er die Entwicklungen seit dem Wochenende beobachtet. Diaz ist auf Threat Intelligence spezialisiert und arbeitet für das Aushängeschild von Kaspersky, das Global Research & Analysis Team (GREAT). Zusammen mit Forschern des US-Sicherheitsunternehmens Symantec und Google fand sein Team den ersten Anhaltspunkt: Vielleicht handelt es sich bei WannaCry um mehr als nur ein schlecht geplantes Verbrechen.
„Wir haben Ähnlichkeiten im Code zwischen WannaCry und früher benutzter Malware der Gruppe Lazarus gefunden“, sagt Diaz. „Aber es gibt bisher nur wenige Indizien und noch keine Beweiskette.“ Stattdessen, so rät Diaz, sollten Sicherheitsforscher, Journalisten und Politiker bei den Fakten bleiben, die es bislang gibt – und die bestehen zur Zeit aus kaum mehr als wilden Zahlen und Buchstaben.
Der kryptisch klingende Tweet eines Google-Mitarbeiters hat Sicherheitsforscher weltweit aufhorchen lassen. Der von Neel Mehta gezeigte Code stammt aus einer älteren Version von WannaCry, die schon im Februar 2017 auftauchte. Dasselbe Stück Programmiersprache findet sich tatsächlich auch in einem großangelegten Angriff der Gruppe Lazarus wieder, die unter anderem beim Filmstudio Sony Pictures einbrach, sehr wahrscheinlich im Auftrag Nordkoreas. Kaspersky kommentiert den Fund mit den Worten: „Das ist der signifikanteste Hinweis auf die Ursprünge von WannaCry bisher.“ Vicente Diaz mahnt aber: „Harte Attribution ist schwierig.“ Noch sei bei aller Aufregung nicht klar, ob es wirklich einen Zusammenhang gibt.
Denn es gibt Argumente, die gegen staatliche Hacker hinter WannaCry sprechen. „Die Angreifer kannten offenbar den Code, den Lazarus beim Angriff auf Sony verwendete. Es gibt aber mehrere denkbare Wege, wie sie da rangekommen sein könnten“, sagt Sven Herpig, Projektleiter des Transatlantic Cyber Forums (TCF) bei der Stiftung Neue Verantwortung in Berlin. Laut dem Sicherheitsexperten könne es sich bei dem Programmierschnipsel aus WannaCry auch um einen einfachen Fall von „Code-Reuse“ handeln. Keine echter Hinweis auf Nordkorea also, sondern eine Raubkopie.
Warum dieses Vorgehen? „Vielleicht, um einen falsche Schuldigen ins Rampenlicht zu rücken, vielleicht aber auch einfach, um nicht selbst etwas neues programmieren zu müssen“, sagt Herpig. Für Letzteres sprechen auch die Eile und Oberflächlichkeit, mit der WannaCry offenbar programmiert wurde. „Jedes noch so unbegabte Scriptkiddie könnte den zugrundeliegenden Code neu eintüten und wiederverwenden“, sagt Tarah Wheeler. Die US-amerikanische Hacking-Veteranin arbeitet für die Firma Symantec. Die DNA von WannaCry, davon ist sie überzeugt, lässt sich nach Belieben austauschen.
Hinzu kommen politische Argumente, die gegen die Schuld Nordkoreas sprechen: Erstens passen die Ziele nicht ins Feindbild des Regimes – wenn bei einer derart chaotischen Verbreitung überhaupt von „Zielauswahl“ gesprochen werden kann. Die Attacke traf durchaus auch verbündete Staaten wie China. Doch selbst falls Nordkorea das egal ist: Wenn das Ganze eine Machtdemonstration mit einem „entfesselten“ Schadprogramm sein sollte, warum sollte Pjöngjang den Menschen dann überhaupt die Möglichkeit geben, ihre Daten wieder freizukaufen? Das fragt auch Herpig und stellt fest: Auch der im Code eingebettete Aus-Schalter, der die Verbreitung von WannaCry vorübergehend stoppen konnte, ergebe in diesem Szenario kaum einen Sinn.
Bevor wir einen Server dingfest machen können, von dem aus der Angriff startete, haben wir keine Sicherheit
Allerdings scheint es den Angreifern um mehr zu gehen als nur um Lösegeld – das wiederum stützt die Theorie eines politischen Motivs. „Es werden nicht alle ihre Daten bekommen, selbst wenn sie Lösegeld bezahlen“, sagt Diaz. Der Bezahlprozess über Bitcoin erscheine wenig durchdacht, müsse teilweise manuell ablaufen, und auch die Entschlüsselung der Daten wäre bei dieser Masse für die Angreifer so aufwendig, dass sie kaum zu bewerkstelligen sei. „Diese Punkte lassen die Schlussfolgerung zu, dass mehr hinter der Sache steckt als kriminelle Motive“, so der Kaspersky-Forscher. Sicher sei allerdings auch das nicht.
Kurzum, so verlockend es sein mag, den Bösewicht schnell auf der Bühne zu sehen: Hört man den Experten zu, sollte man nicht zu voreilig zum letzten Akt des Theaterstücks springen. „Bevor wir einen Server dingfest machen können, von dem aus der Angriff startete, haben wir keine Sicherheit“, warnt Diaz. Nun will sein Team die ursprünglichen E-Mails finden, die die Ransomware überhaupt erst in Umlauf gebracht haben. „Eine Verbindung zu Lazarus lässt sich nur mit mehr Erkenntnissen über den Traffic, ältere Software-Artefakte und Verbreitungswege feststellen oder verwerfen“, sagt Diaz. Forscher und Sicherheitsunternehmen weltweit werden sich dabei ein Wettrennen liefern. Alles, um den Applaus des Publikums zu bekommen.
