Britische Krankenhäuser, Anzeigetafeln der Deutschen Bahn, das russische Innenministerium: Der Erpressungstrojaner Wannacry legte am Wochenende weltweit Hunderttausende Rechner in 200.000 Organisationen lahm. Insgesamt wurde die Schadsoftware in mehr als 150 Ländern entdeckt. Erst nachdem ein 22-jähriger Brite eine Schwachstelle entdeckte, wurde die weitere Ausbreitung eingedämmt. Nun fahnden Behörden auf der ganzen Welt nach den Wannacry-Machern – die kommen möglicherweise aus Nordkorea.
Verräterischer Code-Schnipsel
Neel Mehta, der als Sicherheitsforscher bei Google tätig ist, entdeckte eine 100-prozentige Übereinstimmung im Programmcode zwischen einer Vorgänger-Version von Wannacry (Stand Februar) und dem Trojaner Contopee aus dem Jahr 2015. Letzterer wurde von der Lazarus-Gruppe entwickelt, einem nordkoreanischen Zusammenschluss von Hackern. Der soll auch hinter dem Sony-Hack aus dem Jahr 2014 stecken, bei dem zahlreiche interne Dokumente und bis dahin unveröffentlichte Filme im Netz veröffentlicht wurden – darunter die Komödie „The Interview“, in der es um die Ermordung des nordkoreanischen Diktators Kim Jong-un geht.WannaCry-Porträt 14.30
Bekannte IT-Sicherheitsfirmen wie Kaspersky und Symantec sowie US-Geheimdienste gehen ebenfalls davon aus, dass die Lazarus-Gruppe sowohl hinter dem Hack auf Sony Pictures Entertainment als auch einem weiteren Angriff auf das Banking-System Swift steckt.
Ist es eine falsche Fährte?
Das übereinstimmende Code-Fragment ist die derzeit heißeste Spur, bislang aber nur ein Indiz und kein endgültiger Beweis, dass Pjöngjang hinter der weltweiten Trojaner-Attacke steckt. Es sei möglich, aber „unwahrscheinlich“, dass die Hacker ihren Code aus bereits existierenden Programmen zusammenkopiert haben, um falsche Spuren zu legen, schreiben die Kaspersky-Experten. Denn in der jetzigen Version, die weltweit die Rechner infizierte, wurde der verräterische Code-Schnipsel wieder entfernt. Um sicher zu gehen, benötigen die Ermittler aber noch Wochen oder gar Monate.Hack-Kommentar 18.15h