Hacker-Gruppe "Lazarus"

Sony-Hacker seit Jahren aktiv

25.02.2016
Von 


Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Die IT-Security-Industrie konnte die Verantwortlichen für den Sony-Pictures-Hack mit weiteren Cyber-Angriffen in Verbindung bringen. Scheinbar steckt hinter den Angriffen ein gut organisierter Zusammenschluss von Hackern, der unter dem Namen "Lazarus" operiert.

Die Gruppe von Hackern, die Ende 2014 die gesamte IT-Infrastruktur von Sony Pictures lahm legte, war offenbar für viele weitere Angriffe der letzten sieben Jahre auf Unternehmen und Organisationen in Südkorea, den USA und anderen Ländern verantwortlich. Eine Koalition von IT-Sicherheits-Anbietern hat die Aktionen des "Lazarus" getauften Hacker-Verbunds über die letzten zwei Jahre beobachtet. Während dieser Zeit konnten die Experten zahlreiche Verbindungen zwischen Lazarus und rund 1000 bösartigen Dateien aus mehr als 45 Malware-Familien nachweisen.

Die Verantwortlichen für den Cyberangriff auf Sony Pictures sind offenbar gut organisiert. Bereits seit 2009 sollen sie für zahlreiche Angriffe auf Unternehmen und Institutionen verantwortlich sein.
Die Verantwortlichen für den Cyberangriff auf Sony Pictures sind offenbar gut organisiert. Bereits seit 2009 sollen sie für zahlreiche Angriffe auf Unternehmen und Institutionen verantwortlich sein.
Foto: Ton Snoei - shutterstock.com

Lazarus: Hacking auf hohem Niveau

Unter anderem fanden die Security-Forscher Beweise für Cyberangriffe von Lazarus auf Regierungsinstitutionen, Medien, Militär, Luftfahrt, den Finanzsektor und weitere kritische Infrastrukturen. Der am längsten zurückliegende Vorfall datiert dabei aus dem Jahr 2009. Die Hacks beinhalteten Cyberspionage, DDoS-Attacken, Datendiebstahl und -zerstörung. Dabei nahmen die Hacker insbesondere Ziele in den USA und Südkorea ins Visier. Allerdings zeigten die ermittelten Daten, dass Angriffs-Schwerpunkte auch in Taiwan, China, Japan, Indien, Pakistan, Italien und Brasilien zu finden waren.

Als der Angriff auf Sony Pictures öffentlich wurde, gab es diverse Stimmen, die hinter der Attacke eine Gruppe von Hacktivisten vermutete. Die Datenanalyse-Experten von Novetta - dem Unternehmen, dass die umfassenden Untersuchungen zu den Hackern initiierte - gehen nun davon aus, dass es sich bei "Lazarus" um eine extrem gut strukturierte, hoch motivierte und mit zahlreichen Ressourcen ausgestattete Gruppe handelt.

Sony-Hack: Nordkorea oder nicht Nordkorea?

Der Hackerangriff auf Sony Pictures hatte zur Folge, dass zahlreiche interne Dokumente und andere vertrauliche Daten im Netz publiziert wurden. Einige Festplatten wurden auch komplett gelöscht. Der Vorfall kostete Sony geschätzte 35 Millionen Dollar.

Nach dem Cyberangriff im November 2014 bekannte sich die mysteriöse Gruppe "Guardians of Peace" zu dem Hack. Daraufhin entstanden schnell Spekulationen darüber, wer hinter dem Hacker-Konglomerat steckt. Dabei wurden auch immer wieder Verbindungen zu Nordkorea hergestellt. Das FBI hatte die Täter ganz offiziell in der abgeschotteten Diktatur vermutet - die US-Regierung reagierte mit Sanktionen gegen nordkoreanische Unternehmen und Organisationen. Weil aber die endgültigen Beweise für eine Beteiligung Nordkoreas fehlten, blieben die meisten IT-Security-Experten dahingehend skeptisch.

Neue Erkenntnisse über die Sony-Hacker

Auch der in dieser Woche veröffentlichte Report über die Aktivitäten von Lazarus liefert keine endgültige Antwort auf diese Frage, aber neue Anhaltspunkte dafür, dass das FBI in dieser Angelegenheit den richtigen Riecher gehabt haben könnte. So heißt es im Report: "Obwohl wir durch unsere Untersuchungen die Attacke - bedingt durch die Attributions-Schwierigkeiten, die innerhalb der virtuellen Welt bestehen - nicht einem einzelnen Staat oder einer bestimmten Gruppe zuordnen können, könnten unsere Ergebnisse die Theorie des FBI stützen."

Zu diesen Ergebnissen zählt unter anderem, dass nach Aussage der Kaspersky Labs - eines der zwölf beteiligten Security-Unternehmen - mehr als 60 Prozent der Malware Samples die mit Lazarus in Verbindung gebracht werden konnten, koreanische Wörter und Begriffe enthielten. Zudem konnten die Security-Experten über Aktivitäts-Muster und die Release-Zeiträume der Malware Samples ableiten, dass die Hacker sehr wahrscheinlich in einer bestimmten Zeitzone agieren. In derselben Zeitzone, in der sich auch Nordkoreas Hauptstadt Pjöngjang befindet. Auch die Security-Spezialisten von AlienVault wirkten bei der Untersuchung mit und veröffentlichten in ihrem Blog weitere Details.

Der Fakt, dass viele Ziele der Hacker in Südkorea angesiedelt sind, unterstützt ebenfalls die Annahme, dass Lazarus im Interesse Nordkoreas handelt. Die Gruppe wird auch mit der Ausnutzung etlicher Zero-Day-Schwachstellen in einem Textprogramm namens Hangul in Verbindung gebracht - eine Software die hauptsächlich in Südkorea genutzt wird.

"Operation Blockbuster": IT-Security-Verbund

Der Hacker-Gruppe "Lazarus" werden zahlreiche Cyberangriffe zugeschrieben. Die bedeutendsten:

  • Die DDoS-Attacken auf Regierungsinstitutionen, Medienhäuser und das Finanzwesen in Südkorea und den USA im Juli 2009;

  • die "Ten Days of Rain"-Attacken gegen südkoreanische Medien- und Finanzinstitutionen, sowie weitere kritische Infrastrukturen im März 2011;

  • die "Operation Dark Seoul", bei der im März 2013 mit Hilfe von Malware zahlreiche Server und Festplatten von südkoreanischen Banken und TV-Sendern gelöscht wurden.

Die intensiven Untersuchungen zu Lazarus wurde von den teilnehmenden Unternehmen "Operation Blockbuster" getauft. Der gleichnamige Report kann über die Website des Projekts eingesehen und heruntergeladen werden. Zudem bietet die Seite weitere hilfreiche Informationen für Unternehmen und wie diese ihre IT-Infrastrukturen besser vor Hacker-Angriffen schützen können.