Hackerangriff auf Sony:

Cybersecurity-Ermittler bezweifeln Verantwortung Nordkoreas

Von Niles Williamson
3. Januar 2015

Am Montag lieferte die Cybersecurity Firma Norse dem FBI neue Belege über den Hacker-Angriff auf Sony Pictures Entertainment. Aufgrund ihrer unabhängigen Untersuchung war der Angriff von einer kleinen Gruppe von Personen begangen worden, zu der unzufriedene ehemalige Beschäftigte zählten, und nicht etwa von Nordkorea.

Eine unter dem Namen Guardians of Peace (Friedenshüter) bekannte Gruppe hat die Verantwortung für den Hackerangriff übernommen und Drohungen gegen Kinos ausgestoßen, die „The Interview” aufführen wollten, die Komödie über die Ermordung des nordkoreanischen Führers Kim Jong-un. Angesichts der Drohungen zog Sony den Film anfänglich aus allen amerikanischen Kinos zurück, gab ihn dann aber doch online und für eine begrenzte Anzahl Kinos frei.

Pjöngjang hat offiziell jede Verantwortung für den Hackerangriff zurückgewiesen. Ein Angebot des Regimes, eine Untersuchung des Lecks bei Sony zu unterstützen, wurde von den Vereinigten Staaten brüsk zurückgewiesen.

Kurt Stammberger, ein Senior Vice President von Norse, sagte dem Security Ledger, dass die Untersuchung seiner Firma zu sechs Personen geführt habe, die direkt an dem Hacking beteiligt gewesen seien, darunter eine Ex-Sony-Beschäftigte, die zehn Jahre bei der Firma gearbeitet hatte, bevor sie im Mai entlassen worden war. Zwei weitere Personen wurden in den USA, eine in Kanada, eine in Singapur und schließlich eine in Thailand identifiziert.

Ausgehend von der Annahme, dass der Angriff ein Insider Job gewesen sei, nutzten die Norse-Forscher bekannt gewordene Personaldaten, um kürzlich entlassene Sony-Angestellte zu identifizieren, die die notwendigen technischen Fähigkeiten besitzen, um ein solches Hacking durchzuführen. Sie identifizierten eine mögliche Verdächtige, deren Online-Aktivität sie dann folgten. Dabei entdeckten sie, dass diese Person in sozialen Medien unzufriedene Posts über Sony und die Entlassungen ins Netz gestellt hatte.

Die Norse-Ermittler nahmen auch Gespräche im Zusammenhang mit dem Hackerangriff auf Sony auf, die auf Foren des Internet Relay Channel (IRC) geführt wurden, über den Hacker online miteinander kommunizieren. Die Ermittler konnten eine Person, die an den IRC-Konversationen teilnahm, mit der ehemaligen Sony-Beschäftigten und einem Server in Verbindung bringen, auf dem eine der frühesten Reproduktionen der Malware beobachtet worden war, die bei dem Angriff im Juli erstellt wurde.

Norses Erkenntnisse über einen Insiderangriff widersprechen den Behauptungen der US-Regierung. Sie hatte ausdrücklich Nordkorea für den Hacker-Angriff auf den Sony-Server verantwortlich gemacht, durch den sensitive Mitarbeiterdaten und peinliche Emails leitender Sony-Manager bekannt geworden waren.

In einer Erklärung vom 19. Dezember beschuldigte das FBI ausdrücklich die nordkoreanische Regierung, für das Hacking verantwortlich zu sein. Die Behörde behauptete, ihre Analyse der Malware, die bei dem Angriff auf Sony eingesetzt wurde, weise „Verbindungen zu anderer Malware auf, wie sie schon früher von nordkoreanischen Quellen entwickelt“ worden sei.

Die Erklärung wies auch auf eine Übereinstimmung der Internet Protokoll Adressen, die bei dem Angriff benutzt wurden, mit Adressen hin, die bei früheren Angriffen, die der nordkoreanischen Regierung angelastet werden, genutzt worden waren. Sie behauptete auch, Ähnlichkeiten bei den Tools gefunden zu haben, die bei den Angriffen auf Sony genutzt wurden, und solchen, die vergangenes Jahr bei Angriffen auf südkoreanische Banken und Medienfirmen eingesetzt worden waren.

Noch am gleichen Tag machte Präsident Obama in seiner Jahresabschlusspressekonferenz Nordkorea für den Angriff verantwortlich und kündigte „eine angemessene Antwort“ der USA gegen das Land an. „Ort und Zeit werden wir selbst auswählen.“

Einige Tage nach Obamas Warnung brach Nordkoreas Verbindung zum Internet für mehrere Stunden zusammen, möglicherweise infolge eines Cyberangriffs der USA. Am Samstag brach Nordkoreas Internet und 3G-UMTS Mobilfunknetz erneut für mehrere Stunden zusammen.

Die Indizien, die die US-Regierung vorgelegt hat, wurden von mehreren Internet Sicherheitsexperten unter die Lupe genommen. Wie die Experten jetzt argumentieren, hat die Regierung nicht genügend Beweise vorgelegt, um ihre Behauptung, Nordkorea sei verantwortlich, überzeugend zu belegen.

Marc Rogers, der leitende Sicherheitsexperte der Internetfirma CloudFlare, schrieb in The Daily Beast, dass die Indizien „schwach“ und „dünn“ seien. Er wies darauf hin, dass es nicht ungewöhnlich sei, wenn Malware Quellcode mit früheren Angriffen teile, weil Hacker Malware verkauften und Quellcode oft online geleakt werde.

Rogers wies darauf hin, dass, außer einer, alle IP-Adressen, die bei dem Angriff genutzt wurden, öffentliche Proxies seien, die schon bei früheren Malware Attacken genutzt wurden. Hacker routen ihre Angriffe häufig über öffentliche Proxy Server, um zu verhindern, dass sie auf ihre wirkliche IP-Adresse zurückverfolgt werden können. Das bedeutet, dass nicht festgestellt werden kann, wo der Angriff auf Sony genau seinen Ausgang nahm.

Rogers zufolge weisen detaillierte Pfade und Passwörter in der Malware darauf hin, dass die Verfasser des Codes genaue Kenntnis der Sony Server und Zugang zu wichtigen Passwörtern hatten. Für einen Insider wäre dies wesentlich einfacher zu bewerkstelligen.

Bruce Schneier, Technologievorstand bei Co3 Systems, schrieb im The Atlantic, er sehe die Belege, die die US-Regierung vorgebracht habe, äußerst skeptisch. Die vom FBI vorgelegten Indizien seien „leicht zu fälschen und noch leichter falsch zu interpretieren“. Er wies auch darauf hin, dass koreanische Sprache im Malware Code zwar auf koreanischen Ursprung hinweise, aber keineswegs eine direkte Verantwortung Nordkoreas beweise.

Eine linguistische Analyse von Onlinebotschaften der Guardians of Peace, die letzte Woche von der Cybersecurity Consultancy Gruppe Taia Global vorgelegt wurde, kam zu dem Schluss, dass die Autoren wahrscheinlich Russen und möglicherweise, aber nicht wahrscheinlich, Koreaner seien.