Die internationale Zusammenarbeit mehrerer Sicherheitsunternehmen, um gegen eine Gruppe Online-Krimineller zu ermitteln, ist noch immer eher die Ausnahme als die Regel. Wenn dies geschieht, dann oft in Kooperation mit Ermittlungsbehörden. Anders bei der Operation Blockbuster, die durch die Angriffe auf Sony Pictures Entertainment im Jahr 2014 stimuliert wurde. Die Antivirushersteller Kaspersky Labs, Symantec und Trend Micro sowie die Novetta Group, AlienVault Labs und andere Partner haben Erkenntnisse über die mindestens seit 2009 aktive Sabotagegruppe Lazarus zusammengetragen. Die Operation Blockbuster hat im Dezember 2014 auf Initiative der Novetta Group begonnen, als das Sicherheitsunternehmen die Angriffe auf Sony Pictures untersuchte. Dies geschah unabhängig von Ermittlungen der Behörden und des betroffenen Unternehmens. Antivirushersteller und andere Sicherheitsfirmen haben Informationen über verschiedene Malware-Familien sowie Online-Angriffe gegen Industrie, Medien und Finanzinstitute zusammengetragen, die zunächst keinen Zusammenhang zu haben schienen. Die detaillierten Analysen haben allerdings viele Gemeinsamkeiten offenbart, die nur einen Schluss zulassen: es muss eine bis dahin nicht bekannte Gruppe hinter all diesen Aktivitäten stecken. So fanden die Experten Code-Fragmente und Angriffstaktiken, die in mehreren Malware-Kampagnen nahezu identisch waren. In verschlüsselten ZIP-Archiven verbreitete Schadprogramme waren mit stets demselben Passwort gesichert, das in einer der Verteilung dienenden Komponente fest einprogrammiert war. Man könnte sagen, beim Durchsuchen mehrerer Heuhaufen sind weit mehr Nadeln gefunden worden, als zu erwarten war. Bei der Untersuchung von mehr als 1000 schädlichen Dateien aus unterschiedlichen Malware-Familien haben die Forscher unter anderem herausgefunden, dass viele zu typischen Bürozeiten in Asien kompiliert wurden. Selbst Mittagspausen und Zeiten der Nachtruhe sind in den Daten erkennbar. Viele Spuren weisen nach Korea als wahrscheinlichen Hauptsitz der Lazarus-Gruppe. Dazu gehören frühe Angriffe gegen südkoreanische Unternehmen sowie koreanische Spracheinstellungen in gemeinsamen Malware-Komponenten. Die USA hatten bereits kurz nach dem Angriff auf Sony Pictures Nordkorea beschuldigt dahinter zu stecken. Aus diesen Analysen und weiteren Daten über Cyberangriffe der letzten Jahre ergibt sich zudem eine beunruhigende Prognose für die nicht so ferne Zukunft: so genannte Wiper-Attacken werden weiter zu nehmen. Dabei dringen kriminelle Angreifer in Unternehmensnetzwerke ein und vernichten mit Schad-Software große Datenmengen, indem sie die Festplatten vieler Rechner löschen. Solche Angriffe können für die betroffenen Unternehmen existenzbedrohend sein. In größerem Maßstab und in Kombination mit weiteren Sabotageangriffen könnte damit sogar die Infrastruktur eines Landes lahm gelegt werden.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.