Welchering: Die amerikanische Bundespolizei sagt, es gebe klare Hinweise, dass die Hackergruppe Guardians of Peace von der nordkoreanischen Führung beauftragt wurde. Die nordkoreanische Nachrichtenagentur KCNA hat dagegen heute Vormittag noch einmal die Meldung verbreitet, dass Beweise für die Unschuld Nordkoreas vorlägen. Nordkorea hat den USA inzwischen angeboten, gemeinsame Ermittlungen in Sachen Sony-Hack aufzunehmen.
Kloiber: Was weiß man eigentlich über die Hackergruppe "Guardians of Peace"?
Welchering: Diese Gruppe ist wohl hervorgegangen aus einer gemeinsamen Übung der nordkoreanischen Cybertruppe 121 und der 3. Technischen Abteilung der Volksbefreiungsarmee. Man spricht bei solchen Gruppen ja gern von einer Vorfeldorganisation. Aber hier handelt es sich nicht um angeworbene Hacker, sondern um ehemalige Mitarbeiter zumindest der nordkoreanischen Cybertruppen. Dass auch einige Ehemalige der 3. Technischen Abteilung der chinesischen Volksbefreiungsarmee mitmachen, erscheint wahrscheinlich, zumal ungefähr 1000 nordkoreanische Netzmilitärs in der chinesischen Grenzstadt Dandoong stationiert sind.
Kloiber: Das FBI sieht ja Ähnlichkeiten mit früheren Angriffen der Cyberkriegseinheit 121 des nordkoreanischen Militärs. Welche Indizien weisen denn auf Nordkoreas Einheit 121 hin?
Welchering: Das FBI argumentiert, dass die Angriffsvektoren und der Code der gefundenen Schadsoftware auf Unit 121 Nordkoreas hindeuten. Die FBI-Forensiker haben den aktuellen Schadcode, der bei Sony gefunden wurde, mit sichergestellter Schadsoftware früherer Angriffe auf südkoreanische Unternehmen verglichen. Ich bezweifle das. Denn Einheit 121 ist in der nordkoreanischen Volksarmme für Überlastangriffe zuständig, DDos-Attacken. Damit haben die auch in der Vergangenheit oft südkoreanische Websites lahmgelegt. Ins Sony-Netzwerk sind die Guardians of Peace nach FBI-Angaben über eine Spear-Phishing-Attacke eingedrungen.
Das heißt, die haben Sony-Mitarbeitern eine Mail geschickt mit einem Link auf eine gefälschte Website, dort Zugangsdaten abgegriffen und sind dann ins Sony-Netzwerk hineinmarschiert. Diese Vorgehensweise spricht dafür, dass die Koordinierungsabteilung 350/35 gemeinsam mit Lab 110 diesen Sony-Hack geplant und vorbereitet hat. Inwieweit sie dann bei der konkreten Ausführung mit beteiligt waren oder die Ausführung als Auftrag an die Guardians of Peace gegeben haben, ist zur Zeit noch unklar. Von anderen Angriffen wissen wir, dass diese nordkoreanische Koordinierungsabteilung verschiedene Hackergruppen, Vorfeldorganisationen und ehemalige Mitarbeiter führt.
Kloiber: Wie sind denn eigentlich die nordkoreanischen Cybertruppen aufgebaut und wie gut sind die?
Welchering: Vier Cybereinheiten: Lab110, Unit 121, Abteilung 204 für psychologische Netzkriegsführung und die Koordinierungsabteilung 350/35. Lab 110 mit 500 Soldaten ist für Netzaufklärung zuständig und betreibt eine eigene Hackerhochschule in Pjöngjang. Den anderen drei Cyberkriegseinheiten übergeordnet und Befehlskopfstelle. Unit 121 mit 600 Soldaten plant und führt DDos-Attacken durch. Abteilung 204 fälscht Websites und setzt gefakte Nachrichten ab. Und die Koordinierungseinheit 350/35 ist die eigentliche Angriffstruppe, die ständig mit Nachwuchs aus der Hacker-Hochschule in Pjöngjang gespeist wird. Einheitsstärke gegenwärtig bis zu 1.700 Soldaten.