Heute im Kino: Kim-Jong Un als Schwarzer Peter

Posted on by
Kim-Jong Un hält eine Diskette hoch.

„Wer hat meine Diskette benützt und Hacker gespielt? Dieses Mal nehme ich die Schuld nicht auf mich!“

Aus der Sozialisierung durch die Medien wissen wir alle, dass es Menschen gibt, die den Prototypen des Bösewichts verkörpern. So was gibt es auch bei den Ländern. Momentan hat gerade Nordkorea die Arschkarte gezogen. Nicht, dass ich irgendeine Sympathie für dieses Regime (noch die Datendiebe) hege, aber Ehre wem Ehre gebührt. Und im Fall des Sony-Datenklaus gebührt Nordkorea meiner Ansicht nach keine Ehre.

Es ist immer der verrückte Onkel aus Nordkorea
In seinem vorläufig letzten Bericht zur Urheberschaft des massiven Daten-Klaus nennt das FBI im Wesentlichen folgende drei Gründe dafür, dass der böse Onkel aus Nordkorea der Drahtzieher sein muss:

Technical analysis of the data deletion malware used in this attack revealed links to other malware that the FBI knows North Korean actors previously developed. For example, there were similarities in specific lines of code, encryption algorithms, data deletion methods, and compromised networks.

The FBI also observed significant overlap between the infrastructure used in this attack and other malicious cyber activity the U.S. government has previously linked directly to North Korea. For example, the FBI discovered that several Internet protocol (IP) addresses associated with known North Korean infrastructure communicated with IP addresses that were hardcoded into the data deletion malware used in this attack.

Separately, the tools used in the SPE attack have similarities to a cyber attack in March of last year against South Korean banks and media outlets, which was carried out by North Korea.

Und das ist es auch schon mit den Begründungen. Kurz und bündig nenne ich das. Einer genaueren Betrachtung hält das Ganze eher nicht stand.

Der Malware-Markt gibt alles Mögliche her
Im ersten und letzten Punkt spricht das FBI von Ähnlichkeiten zu früheren „Cyber Attacken“ an denen Nordkorea beteiligt war. Ich würde gerne darauf hinweisen, dass es im Internet einen regen Handel mit allem gibt, was das Hackerherz begehrt. Da ist es nicht übertrieben anzunehmen, dass es verschiedene Angriffe auf Unternehmen oder staatliche Einrichtungen gibt, die einen sehr ähnlichen Code verwenden. Dasselbe Argument gilt auch für den zweiten Punkt, denn Infrastruktur kann man auf diesen Märkten genauso mieten. Selbst beim konkretesten Hinweis, die Kommunikation mit nordkoreanischen IP-Adressen, darf gezweifelt werden: Der Sicherheitsexperte Guido Rudolphi gab im Blick zu Protokoll, dass es in Nordkorea sehr viele ungesicherte Computer gebe. Die Beschaffung einer Alibi-IP-Adresse sei also kein Problem.

Ein fehlgeleiteter Datendiebstahl
Zuerst war an diesem Datenklau nicht ungewöhnliches drann: Daten gestohlen, eine Nachricht mit Namen hinterlassen und dann wird abkassiert. Erst später eskalierte diese gewöhnliche Erpresser-Nummer zum Politikum, nachdem die US-Presse spekuliert hatte, ob Nordkorea sich für den Film gerächt haben könnte. Gegen den Film protestiert hat Pjöngjang nämlich schon im Sommer.  Das schien den Dieben (oder jemandem, der sich dafür ausgab) nur recht zu sein, denn anschliessend erwähnten die Hacker diesen Film und drohten bei einer Veröffentlichung mit Vergeltung.

Hinweise auf einen Insider-Job
Wenn nicht Pjönjang, wer dann? Meiner Ansicht nach steckt der aussagekräftigste Hinweis tatsächlich in der verwendeten Software: In der Malware wurden Sony-Passwörter und Passwort-Pfade gefunden, die „fix“ in den Code programmiert wurden. Das lässt auf eine sehr gute Kenntnis des Netzwerkes schliessen. Dies steht vor dem Hintergrund, dass bei Sony eine Menge Leute aufgrund von Sparmassnahmen auf ihre Entlassung warten oder schon entlassen wurden. Die Sparmassnahmen wurden durch einen externen Sanierer durchgeführt und ich gehe mal davon aus, dass – wie stehts bei solchen Übungen – dabei viel böses Blut entstanden ist.

Bauernfänger mit drei Buchstaben im Namen
Mittlerweile gibt es viele verschiedene Theorien, wer hinter dem Diebstahl gigantischen Ausmasses (1,5 Terrabyte sollen gestohlen worden sein) steht. Ich weiss auch nicht, wer dafür verantwortlich ist. Nordkorea scheint mir aber als Verdächtiger eher nicht in Frage zu kommen. (Der ganze Aufwand wegen eines Films und dann noch so stümperhaft durchgeführt?) Das einzige was ich aus dieser Geschichte gelernt habe ist: Nur weil ein Dienst mit einer Drei-Buchstaben-Abkürzung etwas als gesichert kommuniziert, ist das noch lange kein Grund das Gehirn auszuschalten. Das gilt auch für die Medien, die erst langsam merken, dass hier was nicht stimmt.