Sony-Hack: Die dubiose IP-Spur nach Nordkorea

Die US-Bundespolizei FBI führt sie als Beweise gegen Nordkorea an: IP-Adressen, die die Angreifer auf die IT-Infrastruktur von Sony Pictures in einer Malware hinterlassen haben. Sie führen allerdings nicht zu Servern in Nordkorea, was einige an der eindeutigen Schuldzuweisung des FBI zweifeln lässt. Die weltweite Vernetzung macht es aber ohnehin schwierig, Angreifer über das Internet dingfest zu machen.

Vergangene Woche hatte das FBI offiziell bestätigt, dass es zusammen mit anderen US-Behörden genügend Beweise gesammelt hatte, um die Einbrüche mit Nordkorea in Verbindung zu bringen. Eine technische Analyse des Angriffs habe ergeben, dass die verwendete Malware bei Sony Pictures genau der entspreche, die zuvor bei ähnlichen Angriffen eingesetzt wurde. Diese habe das FBI bereits Nordkorea zugeordnet. Dazu gehörten spezifische Codezeilen, Verschlüsselungsalgorithmen und die kompromittierten Netzwerke, teilte die US-Bundespolizei mit.

Zudem sei die verwendete Infrastruktur identisch mit der, die bereits in anderen Angriffen verwendet wurde. Darunter seien in der Malware hartcodierte IP-Adressen. Die bei dem Angriff verwendeten Werkzeuge seien identisch mit denen, die in einem Cyberangriff auf Südkorea 2013 verwendet wurden. Auch damals wurde Nordkorea als Urheber genannt. Weitere Details wollte das FBI mit Hinweis auf geheime Quellen und Methoden nicht mitteilen.

IP-Adressen sind ein Beweis

Genau jene IP-Adressen haben aber externe IT-Sicherheitsunternehmen veröffentlicht, die mutmaßlich Zugriff auf den Code der Malware hatten. Symantec nennt die Malware Destover und ist sich ebenfalls sicher, dass sie identisch mit derjenigen ist, die 2013 in Südkorea verwendet wurde. Das FBI hatte kurz nach den Angriffen die Malware Wiper genannt. Auch Kaspersky nutzt diesen Namen und bringt Wiper mit einem Angriff auf die staatlichen Erdölunternehmen Irans und Saudi-Arabiens in Verbindung.

Das IT-Security-Unternehmen Blue Coat analysierte offenbar die aktuelle Version der Malware und veröffentlichte ebenfalls IP-Adressen, von denen die Schadsoftware ihre Befehle erhalten sollte, nämlich das Löschen sämtlicher Daten auf einem infizierten Rechner und einem anschließenden Neustart. Auch Bloomberg wollte die Täter anhand von entdeckten IP-Adressen in einem Hotel in Bangkok dingfest machen.

Die Beweise sind in aller Welt

Der Blogger Krypt3ia hat jetzt sämtliche bekannten Adressen nachverfolgt: Drei davon führen zu Servern in Thailand, Polen und Italien. Vier weitere hat er in Bolivien, Singapur und sogar in den USA entdeckt. Allesamt haben sie eines gemeinsam: Sie sind dafür bekannt, Malware und Spam zu verbreiten und sind möglicherweise selbst kompromittiert worden. Die Adresse in den USA hält Krypt3ia aus mehreren Gründen für besonders interessant. Der Rechner sei in New York, er wundere sich deshalb, warum das FBI ihn noch nicht vom Netz genommen habe. Dort entdeckte Krypt3ia ein Squid-Proxy sowie eine VNC-Installation.

Der Server in Polen werde offenbar von zahlreichen Gruppen verwendet, es kursiere im Netz unter anderem ein Zugang mit einem chinesischen Passwort. Der Server in Singapur werde ebenfalls von zahlreichen Personen als Proxy-Server verwendet. Es gebe indes keine eindeutigen Beweise, die Nordkorea in Verbindung mit den IP-Adressen bringen könnten. Das FBI habe sich ohnehin in seiner Mitteilung äußerst vage ausgedrückt: Es habe eine signifikante Übereinstimmung mit den Angriffen auf Südkorea 2013 gegeben, heißt es dort. Vor einem US-Gericht würden solche Beweise kaum zugelassen werden, da sie lediglich Indizien seien, resümiert Krypt3ia.

Der Hack hat politische Konsequenzen

Zunächst zögerlich und nur auf Nachfrage hat US-Präsident Barack Obama auf einer Pressekonferenz am Freitag bestätigt, dass US-Ermittlungsbehörden Nordkorea für den Angriff auf die Server von Sony Pictures direkt verantwortlich machen. Die Bedrohung gehe sowohl von staatlich gelenkten als auch von unabhängigen Gruppen aus, sagte er gleich darauf. Und er werde mit dem US-Gesetzgeber eng zusammenarbeiten, um neue Gesetze gegen Cyberangriffe zu verabschieden, die eine engere Zusammenarbeit zwischen dem öffentlichen und privaten Sektor vorsehen. Er betonte dabei, dass alle nationalen Behörden an der Initiative beteiligt werden sollten. Die USA werde zu einem gegebenen Zeitpunkt angemessen auf den Angriff reagieren, sagte Obama. Er stufe ihn jedoch nicht als kriegerischen Akt, sondern als Vandalismus ein.

Indes poltert Nordkorea nach der Pressekonferenz in gewohnt martialischer Art zurück: Es weise die Vorwürfe zurück und drohte mit ernsten Konsequenzen, wenn die USA sein Angebot zur Zusammenarbeit bei der Ermittlung der Täter ablehne. Der US-Präsident hat stattdessen China um Hilfe gebeten, ausgerechnet das Land, das oftmals selbst für Hackerangriffe in den USA verantwortlich gemacht wird. China hat eine Zusammenarbeit zugesagt.