Das steckt hinter dem Sony-Megahack

Software-Spezialisten von Kaspersky, Symantec und Blue Coat haben die Malware analysiert, die beim Monster-Angriff auf Sony vor einigen Tagen zum Einsatz kam. Einige Software-Komponenten ähneln dem Sourcecode, der bereits schon einmal bei Angriffen auf südkoreanische Banken und Rundfunkstationen sowie auf die amerikanisch-arabische Ölfirma Aramco benutzt wurde. Auch die Angriffsmethodiken weisen frappierende Ähnlichkeiten auf. Dies deutet auf Nordkorea als Ursprungsland der Attacken hin. Zweifelsfrei beweisen lässt sich das jedoch bislang nicht. Diverse Sicherheitsexperten zweifeln an dieser Version der Geschichte. Der Trojaner Destover, der beim Angriff auf Sony eine entscheidende Rolle spielte, nutzt die legale, kommerzielle Software EldoS RawDisk, um Daten und sogenannte Master-Boot-Einträge zu überschreiben. Cyberkriminelle überschreiben den Master Boot, um Rechner zu ihren Gunsten zu manipulieren. Ausserdem sind Master-Boot-Manipulationen zwar technisch anspruchsvoll, aber für normale Virenscanner nur schwer erkennbar. Diesen Vorteil machen sich Angreifer zunutze. Die beim Angriff auf Sony eingesetzte EldoS RawDisk sei jedoch, so die Sicherheitsspezialisten, eine eher ungewöhnliche Wahl, und just diese Software kam bereits einmal im August 2012 beim Angriff auf die amerikanisch-arabische Ölgesellschaft Saudi Aramco zum Einsatz. Damals bekannte sich die Hacktivist-Gruppe «Cutting Sword of Justice» zu der Tat, und begründete den Angriff auf Aramco mit den oppressiven Aktionen des saudischen Regimes gegen Länder wie Syrien, Bahrain, dem Yemen, dem Libanon und Ägypten. Auch die Angreifer auf Sony scheinen politisch motiviert gewesen zu sein. Eine bislang unbekannte Gruppierung, die sich «Guardians of Peace» (GOP) nennt, bekannte sich zu der Tat mit den Worten: Sony und Sony Pictures habe in den letzten Jahren schreckliche rassistische Diskriminierungen und Menschenrechtsverletzungen begangen (Sony and Sony Pictures have made terrible racial discrimination and human rights violation). Die Rede ist weiterhin von wahlloser Tyrannei und Restrukturierungsmassnahmen (restructuring).

Gemäss neusten Erkenntnissen sollen zwei hohe Sony-Manager vor dem Angriff per Mail gewarnt worden sein. Wörtlich hiess es in den Droh-Mails: «Uns wurde durch Sony grossen Schaden zugefügt» Und weiter «Wir wollen Kompensation, monetäre Kompensation». Dieses Mail wurde am 21. November verschickt und vermutlich in einem G-Mail-Account verfasst, wie der Branchendienst IDGNS berichtet. Des weiteren stand in der Mail: «Zahlt für den Schaden, oder Sony Pictures wird bombardiert. Ihr kennt uns sehr gut. Wir warten nie lange. Ihr solltet unserem Rat folge leisten.» Dieses Mail wurde übrigens nicht mit den «Guardians of Peace» signiert, sondern von «From God's Apstls». Dieser Terminus wurde auch in der Malware gefunden. Diese Mail wurde in zwei veröffentlichten Mailboxen gefunden, die gemäss den Hackern Steve Mosko, Präsident von Sony Pictures Television und Amy Pascal, ein Vorsitzender von Sony Pictures Entertainment gehören sollen. Diese Outlook-.pst-Files - die mehrere Gigabyte gross sind - enthalten tausende von Mails welche die beiden Manager in den vergangenen Monaten verschickt haben. Sony verweigerte bisher jeden Kommentar zu diesen Mail-Konten.

Der Sony-Trojaner Destover ähnelt ausserdem einer Angriffs-Software, die im März 2013 südkoreanische Banken und Rundfunkanstalten in Schwierigkeiten brachte. Beide Malware-Varianten führten nach Angaben von Symantec einen sogenannten verzögerten "Wipe" aus. Sie schlichen sich also zunächst auf die Server des Opfers, schliefen dort eine Weile und starteten dann nach einem von denn Angreifern definierten Zeitpunkt ihre zerstörerischen Aktivitäten, überschrieben Dateien, löschten Daten oder entwendeten unternehmenskritische Informationen. Nach Angaben von südkoreanischen Firmen, die attackiert wurden, sollen einige Dateinamen der Software-Komponenten, die bei den Angriffen zum Einsatz kamen, die gleichen sein. Auch der Angriff auf Südkorea mag politisch motiviert gewesen sein. Die Cyberkriminellen manipulierten Websites und liessen den Schriftzug anzeigen: «This is the beginning of our movement. User accounts and all data is in our hands». Die Hacker-Gruppierung «The Whois Team» bekannte sich zu der Tat. Die Cyberkriminellen der «Guardians of Peace», die vor einigen Tagen den Mega-Hack auf Sony durchgeführt haben, wählten ebenfalls eine verzögerte Angriffstechnik. Die Malware sei etwa 48 Stunden vor der Attacke kompiliert worden, sagten Sicherheitsexperten von Kaspersky. Danach war die Software praktisch ab sofort einsatzbereit. Es sei sehr unwahrscheinlich, dass die Angreifer die Malware durch eine Sicherheitslücke ins System geschleust hätten, so die Kaspersky-Spezialisten. Vielmehr sei mit hoher Wahrscheinlichkeit davon auszugehen, dass die Cyberkriminellen sich vor dem Angriff ungehinderten Zugang zum gesamten IT-System von Sony verschafft hätten.

Einige Varianten des Sony-Trojaners Destover weisen zudem auf einen Master-Server (Command&Control-Server), der bereits bei Attacken auf südkoreanische Ziele benutzt worden ist. Ein gemeinsamer Master-Server legt den Schluss nahe, dass die gleiche Gruppierung hinter den Angriffen stecken könnte. All das seien zwar keine hundertprozentigen Beweise, dass die Sony-Attacke von Cyberkriminellen in Nordkorea ausging. Es sei jedoch sehr bemerkenswert, dass Cyber-Attacken solcher Grössenordnung durchgeführt wurden und klar erkennbare Gemeinsamkeiten in Sachen Toolsets und Angriffsmethodiken aufweisen, resümieren Kaspersky-Analysten. (mit Material von IDG News Services)