Wer wars? Oder: Warum Tätersuche bei Cyber-Attacken oft ins Leere läuft

  • Article

Am 9. Februar verübten kriminelle Hacker einen Angriff auf die Server der Winterolympiade im südkoreanischen Pyeongchang. In der Folge stürzte die offizielle Website der Spiele ab, sodass es nicht mehr möglich war, dort an Informationen zu gelangen oder Tickets auszudrucken. Gleichzeitig fiel das WLAN im Olympiastadion aus, außerdem auch der TV-Empfang und der Internet-Zugang im Pressezentrum. Die Malware, die den Schaden verursachte, wurde Olympic Destroyer getauft. Soweit die Fakten.

Dann begann die Spekulation: Schnell richtete sich der Verdacht gegen russische Hackergruppen, die angeblich Rache nehmen wollten für den Ausschluss eines Großteils der russischen Athleten und sämtlicher russischer Funktionäre aufgrund der Doping-Fälle in Sotchi 2014. Die Washington Post berichtete unter Berufung auf zwei ungenannte amerikanische Geheimdienst-Mitarbeiter, dass der Angriff von russischen Agenten durchgeführt wurde. Sie wollten die Attacke so aussehen lassen, als stecke Nordkorea dahinter.

Nun haben die Sicherheitsforscher der Talos-Gruppe von Cisco jedoch starke Zweifel an dieser Theorie angemeldet. In einem Blog-Beitrag legen sie dar, wie schwierig es generell ist, einen eindeutigen Beweis für die Täterschaft eines Hacker-Angriffs zu finden. Es gebe lediglich Indizien, die in die eine oder andere Richtung weisen.

Talos zufolge untersuchen Security-Experten bei der Analyse eines Angriffs fünf Merkmale:

  • die Taktik, Technik und Vorgehensweise (Tactics, Techniques, Procedures, TTPs) beziehungweise wie der Angreifer die Attacke durchgeführt hat
  • die Viktimologie (Opferforschung), also das Profil des Opfers
  • die Infrastruktur, also die benutzte Plattform
  • die kompromittierenden Indikatoren (Indicators of Compromise, IoC), die zurückgelassenen Spuren
  • die verwendeten Malware-Samples

So suchte der Olympic Destroyer beispielsweise nach einer Datei mit der Bezeichnung evtchk.txt. Das erinnerte die Talos-Mitarbeiter daran, dass bei der Attacke auf die Zentralbank von Bangladesch im Februar 2016 über das SWIFT-Netzwerk, die mutmaßlich von der nordkoreanischen Lazarus-Gruppe durchgeführt wurde, Dateien mit den Namen evtdiag.exe, evtsys.exe and evtchk.bat verwendet wurden. Außerdem sehen sich auch die Programmcodes der beiden Malware-Samples sehr ähnlich.

Fest steht, dass nichts fest steht

Auf der anderen Seite entspricht der Code von Olympic Destroyer zu 18,5 Prozent dem Code eines Tools, das die vermutlich chinesische Hackergruppe APT3 verwendet. Doch dieses Programm basiert wiederum auf dem frei erhältlichen Open-Source-Tool Mimikatz. Eventuell haben die Entwickler einfach nur auf die gleiche Quelle zugegriffen. Zugleich existieren Ähnlichkeiten in der Art, wie Olympic Destroyer und eine weitere chinesische Gruppe, APT10, AES-Schlüssel erzeugen.

Und schließlich gibt es Übereinstimmungen, aber auch einige Unterschiede, beim Vorgehen von Olympic Destroyer mit der Ransomware Nyetya.

Echte Beweise für eine Beteiligung einer der genannten Gruppen beziehungsweise Verdächtigen sind das alles nicht. Fest steht nur, dass sich der Autor von Olympic Destroyer sehr gut mit den verschiedenen Malware-Formen auskennt und vermutlich auch in der Lage ist, mit diesem Wissen falsche Fährten zu legen. Allein aus der Untersuchung des Codes der Software lässt sich im Fall von Olympic Destroyer, aber auch bei anderen Malware-Samples, nicht exakt bestimmen, wer der Verantwortliche ist.