Sony-Hack: Die dubiose IP-Spur nach Nordkorea

Anhand von IP-Adressen will das FBI Nordkorea als Urheber der Hackerangriffe auf Sony Pictures ausgemacht haben. Diese Adressen sind jedoch weltweit verteilt und keine führt eindeutig in das abgeschottete Land. Manche bezweifeln daher die Schuldzuweisung der US-Bundespolizei.

Artikel veröffentlicht am ,
Die Beweiselage des FBI gegen Nordkorea anhand gefundener IP-Adressen sei zu dürftig, kritisieren einige.
Die Beweiselage des FBI gegen Nordkorea anhand gefundener IP-Adressen sei zu dürftig, kritisieren einige. (Bild: Sony Pictures)

Die US-Bundespolizei FBI führt sie als Beweise gegen Nordkorea an: IP-Adressen, die die Angreifer auf die IT-Infrastruktur von Sony Pictures in einer Malware hinterlassen haben. Sie führen allerdings nicht zu Servern in Nordkorea, was einige an der eindeutigen Schuldzuweisung des FBI zweifeln lässt. Die weltweite Vernetzung macht es aber ohnehin schwierig, Angreifer über das Internet dingfest zu machen.

Stellenmarkt
  1. IT-Architekt (m/w/d)
    rhenag Rheinische Energie Aktiengesellschaft, Köln
  2. Senior Technical Consultant (w/m/d) ServiceNow
    HanseVision GmbH, Bielefeld, Hamburg, Karlsruhe, Neckarsulm
Detailsuche

Vergangene Woche hatte das FBI offiziell bestätigt, dass es zusammen mit anderen US-Behörden genügend Beweise gesammelt hatte, um die Einbrüche mit Nordkorea in Verbindung zu bringen. Eine technische Analyse des Angriffs habe ergeben, dass die verwendete Malware bei Sony Pictures genau der entspreche, die zuvor bei ähnlichen Angriffen eingesetzt wurde. Diese habe das FBI bereits Nordkorea zugeordnet. Dazu gehörten spezifische Codezeilen, Verschlüsselungsalgorithmen und die kompromittierten Netzwerke, teilte die US-Bundespolizei mit.

Zudem sei die verwendete Infrastruktur identisch mit der, die bereits in anderen Angriffen verwendet wurde. Darunter seien in der Malware hartcodierte IP-Adressen. Die bei dem Angriff verwendeten Werkzeuge seien identisch mit denen, die in einem Cyberangriff auf Südkorea 2013 verwendet wurden. Auch damals wurde Nordkorea als Urheber genannt. Weitere Details wollte das FBI mit Hinweis auf geheime Quellen und Methoden nicht mitteilen.

IP-Adressen sind ein Beweis

Genau jene IP-Adressen haben aber externe IT-Sicherheitsunternehmen veröffentlicht, die mutmaßlich Zugriff auf den Code der Malware hatten. Symantec nennt die Malware Destover und ist sich ebenfalls sicher, dass sie identisch mit derjenigen ist, die 2013 in Südkorea verwendet wurde. Das FBI hatte kurz nach den Angriffen die Malware Wiper genannt. Auch Kaspersky nutzt diesen Namen und bringt Wiper mit einem Angriff auf die staatlichen Erdölunternehmen Irans und Saudi-Arabiens in Verbindung.

Golem Akademie
  1. Informationssicherheit in der Automobilindustrie nach VDA-ISA und TISAX® mit Zertifikat: Zwei-Tage-Workshop
    22.–23. März 2022, Virtuell
  2. Scrum Product Owner: Vorbereitung auf den PSPO I (Scrum.org): virtueller Zwei-Tage-Workshop
    3.–4. März 2022, virtuell
Weitere IT-Trainings

Das IT-Security-Unternehmen Blue Coat analysierte offenbar die aktuelle Version der Malware und veröffentlichte ebenfalls IP-Adressen, von denen die Schadsoftware ihre Befehle erhalten sollte, nämlich das Löschen sämtlicher Daten auf einem infizierten Rechner und einem anschließenden Neustart. Auch Bloomberg wollte die Täter anhand von entdeckten IP-Adressen in einem Hotel in Bangkok dingfest machen.

Die Beweise sind in aller Welt

Der Blogger Krypt3ia hat jetzt sämtliche bekannten Adressen nachverfolgt: Drei davon führen zu Servern in Thailand, Polen und Italien. Vier weitere hat er in Bolivien, Singapur und sogar in den USA entdeckt. Allesamt haben sie eines gemeinsam: Sie sind dafür bekannt, Malware und Spam zu verbreiten und sind möglicherweise selbst kompromittiert worden. Die Adresse in den USA hält Krypt3ia aus mehreren Gründen für besonders interessant. Der Rechner sei in New York, er wundere sich deshalb, warum das FBI ihn noch nicht vom Netz genommen habe. Dort entdeckte Krypt3ia ein Squid-Proxy sowie eine VNC-Installation.

Der Server in Polen werde offenbar von zahlreichen Gruppen verwendet, es kursiere im Netz unter anderem ein Zugang mit einem chinesischen Passwort. Der Server in Singapur werde ebenfalls von zahlreichen Personen als Proxy-Server verwendet. Es gebe indes keine eindeutigen Beweise, die Nordkorea in Verbindung mit den IP-Adressen bringen könnten. Das FBI habe sich ohnehin in seiner Mitteilung äußerst vage ausgedrückt: Es habe eine signifikante Übereinstimmung mit den Angriffen auf Südkorea 2013 gegeben, heißt es dort. Vor einem US-Gericht würden solche Beweise kaum zugelassen werden, da sie lediglich Indizien seien, resümiert Krypt3ia.

Der Hack hat politische Konsequenzen

Zunächst zögerlich und nur auf Nachfrage hat US-Präsident Barack Obama auf einer Pressekonferenz am Freitag bestätigt, dass US-Ermittlungsbehörden Nordkorea für den Angriff auf die Server von Sony Pictures direkt verantwortlich machen. Die Bedrohung gehe sowohl von staatlich gelenkten als auch von unabhängigen Gruppen aus, sagte er gleich darauf. Und er werde mit dem US-Gesetzgeber eng zusammenarbeiten, um neue Gesetze gegen Cyberangriffe zu verabschieden, die eine engere Zusammenarbeit zwischen dem öffentlichen und privaten Sektor vorsehen. Er betonte dabei, dass alle nationalen Behörden an der Initiative beteiligt werden sollten. Die USA werde zu einem gegebenen Zeitpunkt angemessen auf den Angriff reagieren, sagte Obama. Er stufe ihn jedoch nicht als kriegerischen Akt, sondern als Vandalismus ein.

Indes poltert Nordkorea nach der Pressekonferenz in gewohnt martialischer Art zurück: Es weise die Vorwürfe zurück und drohte mit ernsten Konsequenzen, wenn die USA sein Angebot zur Zusammenarbeit bei der Ermittlung der Täter ablehne. Der US-Präsident hat stattdessen China um Hilfe gebeten, ausgerechnet das Land, das oftmals selbst für Hackerangriffe in den USA verantwortlich gemacht wird. China hat eine Zusammenarbeit zugesagt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


SceniX 08. Jan 2015

"Auf einmal"? Nordkorea und die USA waren auch vorher schon keine besten Freunde. Der...

__destruct() 26. Dez 2014

1. Was hat das mit Aufgeschlossenheit zu tun? 2. In welchem Bereich sind die Amis denn...

genab.de 23. Dez 2014

Der Film kommt, und der wird sich mehr als rentieren....

dahana 22. Dez 2014

Höchstens um den Film los zu werden. Beim japanischen Mutterkonzern ist der Film ja...

Lutze5111 22. Dez 2014

zumal man sich z.B. per Modem überall auf der Welt einwählen kann ...



Aktuell auf der Startseite von Golem.de
Framework Laptop im Hardware-Test
Schrauber aller Länder, vereinigt euch!

Der modulare Framework Laptop ist ein wahrgewordener Basteltraum. Und unsere Begeisterung für das, was damit alles möglich ist, lässt sich nur schwer bändigen.
Ein Test von Oliver Nickel und Sebastian Grüner

Framework Laptop im Hardware-Test: Schrauber aller Länder, vereinigt euch!
Artikel
  1. FTTH: Liberty Network startet noch mal in Deutschland
    FTTH
    Liberty Network startet noch mal in Deutschland

    Das erste FTTH-Projekt ist gescheitert. Jetzt wandert Liberty von Brandenburg nach Bayern an den Starnberger See.

  2. 5.000 Dollar Belohnung: Elon Musk wollte Twitter-Konto von 19-Jährigem stilllegen
    5.000 Dollar Belohnung
    Elon Musk wollte Twitter-Konto von 19-Jährigem stilllegen

    Tesla-Chef Elon Musk bot einem US-Teenager jüngst angeblich 5.000 US-Dollar, damit der seinen auf Twitter betriebenen Flight-Tracker einstellt.

  3. Lieferando-Beschäftigte: Aus Zeitnot rote Ampeln überfahren
    Lieferando-Beschäftigte
    Aus Zeitnot rote Ampeln überfahren

    Bei Protesten vor der Konzernzentrale von Lieferando forderten die Rider 15 Euro pro Stunde und weniger Arbeitshetze.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3080 12GB 1.499€ • iPhone 13 Pro 512GB 1.349€ • DXRacer Gaming-Stuhl 159€ • LG OLED 55 Zoll 1.149€ • PS5 Digital mit o2-Vertrag bestellbar • Prime-Filme für je 0,99€ leihen • One Plus Nord 2 335€ • Intel i7 3,6Ghz 399€ • Alternate: u.a. Sennheiser Gaming-Headset 169,90€ [Werbung]
    •  /