Die Vorwürfe seien "lächerlich": So reagierte Nordkorea vor wenigen Tagen, als erstmals eine Verbindung zwischen Pjöngjang und dem WannaCry-Wurm hergestellt wurde. Doch jetzt verdichten sich die Indizien für eine Beteiligung Nordkoreas. So fanden Sicherheitsforscher von Symantec zahlreiche Spuren: Die Kriminellen hinter dem Schadprogramm, das Daten verschlüsselte und Lösegeld forderte, nutzten dafür dieselben Kontrollserver, die bereits beim Hack des Filmkonzerns Sony Pictures im Einsatz waren. Das Unternehmen soll von nordkoreanischen Cybersoldaten wegen einer Kim Jong-Un-Persiflage ins Visier genommen worden sein.
Angriffe auf Banken
Sicherheitsforscher bezeichnen die Sony-Hacker als Lazarus-Gruppe. Diese tauchte in den vergangenen Jahren immer wieder auf und soll beispielsweise Banken attackiert haben. Der Schadcode, der in diesen Angriffen zum Einsatz kam, soll wiederum große Gemeinsamkeiten mit WannaCry aufweisen. "Wir sehen diesen Code nirgendwo sonst", sagte Symantec-Experte Eric Chein zur New York Times.
Finanzielle Motive
Nordkorea versuchte bereits bei früheren Angriffen, Lösegeld zu erpressen oder Bankkonten leerzuräumen. Finanzielle Motive würden also nicht gegen eine staatliche Beteiligung sprechen. Allerdings gingen die Kriminellen hinter WannaCry nach Ansicht vieler Experten zu stümperhaft vor, um tatsächlich nordkoreanische Hacker zu sein.
Die Zuordnung von Cyberattacken ist stets schwierig, da Angreifer ihre Spuren verwischen oder Ermittler absichtlich in die Irre führen. Meist ist eine sogenannte Attribution nur möglich, wenn zusätzliche Quellen abseits des Schadcodes herangezogen werden können. (fsc, 23.5.2017)