Während der Eröffnungsfeier der Olympischen Spiele in Südkorea kam es zu einem Angriff auf die Infrastruktur der Veranstalter. Wurden zunächst Angreifer aus Nordkorea verdächtigt, ging man zwei Wochen später, basierend auf Angaben von US-Geheimdienstmitarbeitern, von Angreifern aus Russland aus. Als Motiv wurde Rache für den Ausschluss russischer Athleten nach Dopingvorwürfen vermutet. Mitte Februar veröffentlichte die zu Cisco gehörige Talos Group schließlich eine Analyse der Malware "Olympic Destroyer", die diese mit der Hackergruppe Lazarus in Verbindung brachte. Im Umfeld dieser Gruppe liegt vieles im Verborgenen, Sicherheitsforscher brachten sie aber in der Vergangenheit immer wieder mit Nordkorea in Verbindung – die Gruppe soll unter anderem für den Sony-Pictures-Hack verantwortlich sein. Neue Veröffentlichungen von Sicherheitsforschern der Firma Kaspersky deuten allerdings darauf hin, dass nichts von alledem stimmt.

Wer war es denn nun?

Kaspersky war früh an Untersuchungen der Angriffe beteiligt, hielt sich aber nach eigenen Angaben mit öffentlichen Aussagen zurück, da man Spuren von einem Kunden erhalten hatte, der keine Aufmerksamkeit auf sich ziehen wollte. Kaspersky sagt auch heute noch nicht, um welche Organisation es sich handelt, nur dass es ein Betreiber von Hotels und Skiresorts ist. Eines der Hotels des Kaspersky-Kunden befand sich zufällig ganz in der Nähe des Austragungsortes der Olympischen Spiele. Es wurde während des Angriffs mit Malware infiziert, die unter anderem die Server lahmlegte, die den Zugang zu Ski-Liften des Resorts regeln.

Vergleich von Code-Fragmenten von Malware der Lazarus-Gruppe (links) und von Olympic Destroyer (rechts). (Bild: Kaspersky Lab)

In seiner Untersuchung der Malware musste Kaspersky feststellen, dass sie wohl explizit dazu geschrieben wurde, um falsche Fährten zu legen. Laut Kaspersky handelt es sich eindeutig um eine "False Flag" – soll heißen, die wahren Angreifer wollen den publikumswirksamen Angriff auf die Spiele anderen in die Schuhe schieben. Kaspersky hat nach eigenen Angaben an mehreren Stellen der Malware deutliche Hinweise darauf gefunden, dass der Code an Hand bekannter Beispiele der Arbeit anderer Hackergruppen so angepasst wurde, dass er wie das Werk dieser Gruppen wirkt. Die Kaspersky-Forscher gehen so weit zu postulieren, dass ein Hauptziel des Angriffs das Verwirren von Sicherheitsforschern und legen falscher Fährten war.

"Attribution Hell"

Bei der Malware, die Kaspersky in der Infrastruktur des Hotels und beim IT-Dienstleister der Olympischen Spiele, der französischen Firma Atos, gefunden hat, handelt es sich um einen raffinierten Wurm, der vollautomatisch Netzwerke sabotieren kann. Einmal losgelassen, sammelt er auf befallenen Systemen Anmelde-Credentials, baut mit ihnen eine bessere Version der Malware, die weiter Türen öffnen kann, und verteilt diese weiter im Netzwerk. Dann löscht er Daten auf dem befallenen System und macht es unbrauchbar – hauptsächlich um Chaos zu stiften.

Olympic Destroyer (oben) im Vergleich mit NotPetya (unten) (Bild: Kaspersky Lab)

Der Wurm enthält viele Code-Fragmente, die offensichtlich anderer, bereits bekannter Malware ähnelt. Etwa Lösch-Routinen, die offenbar aus Malware der Lazarus-Gruppe stammen, und Code, der die Restore-Funktion von Windows aushebelt und Teilen des NotPetya-Trojaners überraschend ähnlich sieht. Die Kaspersky-Forscher bezeichnen ihre Untersuchung pathetisch als "attribution hell" und meinen damit, die Zuordnung des Schadcodes zu der einen oder anderen bekannten Hackergruppe sei die Hölle gewesen. Auch Talos hat seine Vermutung, es habe sich beim Urheber um die Lazarus-Gruppe gehandelt, bereits wieder zurückgezogen.

Falsche Fährten sind nichts Neues

Offenbar haben die Autoren der Spionage-Werkzeuge viel Zeit und Mühe darauf verwendet, spezifische Eigenschaften der Tools und Vorgehensweisen anderer Spionagegruppen nachzubauen. Erst eine genauere Analyse des Schadcodes zeigte, dass diese spezifischen Eigenschaften keineswegs der Funktion der Tools dienten, sondern offenbar absichtlich dort platziert wurden. Laut Kaspersky, um eine falsche Fährte zu legen. Überhaupt hätten die Angreifer mit den vorhandenen Adminrechten auf Systemen tief in der olympischen Infrastruktur weitaus mehr und länger anhaltenden Schaden anrichten können, als sie es tatsächlich getan haben.

Dass bei der Analyse von Spionagevorfällen mit falschen Spuren zu rechnen ist, war immer schon klar. So zählt etwa Dr. Timo Steffens vom CERT-Bund im c't-Artikel "Hacker-Jagd im Cyberspace" andere Fälle auf, in denen die Hacker versuchten, Sicherheitsforscher gezielt in die Irre zu führen. Wer letztlich hinter Olympic Destroyer steckt, ist nach wie vor ungewiss. Vielleicht war es ja eine False-Flag-Übung der vermutlich russischen Gruppe Sofacy (auch bekannt als Fancy Bear oder APT28), spekuliert Kaspersky. Doch wirklich festlegen wollen sich die Forscher da nicht. Ihr Fazit: Man sollte nach derartigen Angriffen nicht sofort mit dem Finger auf bestimmte Länder zeigen, sondern lieber erst mal in Ruhe nachforschen. Eine solche Analyse erfordert Zeit und Sorgfalt – vielleicht mehr, als sich manche Sicherheitsforscher, Medien und Politiker im Nachgang eines spektakulären Hacks nehmen. (fab)