War Nordkorea hinter dem DDOS-Angriff?

Die Cyberangriffe, die in der letzten Woche prominente US- und südkoreanische Websites vernichtet haben, sind offenbar beendet, aber die Suche nach den Verantwortlichen beginnt gerade erst. Nordkorea hat sich als wahrscheinlicher Schuldiger herausgestellt, besonders unter den Politikern, aber war es wirklich hinter den Angriffen?

Das Land ist ein geeignetes Ziel für Schuldzuweisungen. Nach dem Scheitern der Sechs-Nationen-Gespräche hat das Land sein Versprechen, die nukleare Entwicklung zu stoppen, nicht eingehalten und hat die Käfige der USA und Südkoreas mit einem Atomtest und mehreren Raketenstarts für kurze und mittlere Reichweiten erschüttert. Die jüngsten Raketenstarts fanden statt, als die Cyberattacken am 4. Juli auf prominenten US-Websites begannen - dem Unabhängigkeitstag des Landes.

Nordkoreas Name kam erstmals in dieser Woche auf, als Regierungsbeamte in den USA und Großbritannien Südkorea fing an, mit den Fingern zu zeigen, aber niemand war bereit, dies zu tun - typischerweise ein Hinweis darauf, dass die Informationen möglicherweise nicht bewiesen werden konnten. Nichtsdestoweniger verliehen die Berichte der Vorstellung, dass Nordkorea hinter den DDOS-Angriffen (distributed denial of service) stand, zusätzlichen Auftrieb, und der Verdacht begann sich von selbst zu ernähren.

[Lesen Sie weiter: Wie Sie Malware von Ihrem Windows-PC entfernen]

Am Freitag sagte der Nationale Geheimdienst (NIS) Südkoreas in einem privaten Briefing für Gesetzgeber, dass eine Abteilung der Armee des Nordens schuld sei, so die Teilnehmer, die von lokalen Medien zitiert wurden. Die NIS hat noch keine öffentliche Erklärung zu dieser Frage abgegeben.

Sicherheitsforscher sind sich nicht so sicher.

"Der Zeitpunkt ist günstig, aber keine der Daten, die ich habe, deutet auf Nordkorea hin", sagte Jose Nazario Sicherheitsforscher bei Arbor Networks, sagte CSO Anfang dieser Woche. Joe Stewart, Direktor des Direktors der Gegenbedrohungseinheit von SecureWorks, sagte gegenüber Computerworld: "Es gibt nichts, was darauf hindeutet, dass es staatlich gefördert wird."

"Noch keine Beweise für eine nordkoreanische Beteiligung", sagte Stewart am Freitag update.

Könnte Nordkorea überhaupt einen solchen Angriff starten?

Das Land ist im Allgemeinen technisch rückständig. Es gibt nur eine Million Telefonleitungen im Land mit 26 Millionen Menschen, Heim-PCs sind selten und der Internetzugang ist stark eingeschränkt, aber der Fortschritt in der IT ist eines der wichtigsten Ziele der Nation, seit der oberste Führer Kim Jong-Il es so gemacht hat um die Jahrhundertwende.

Der Schwerpunkt des nordkoreanischen IT-Fachwissens liegt auf dem Korea Computer Center, der Kim Il Sung Universität und der Kim Chaek University of Technology. Dort studieren die Schüler Computerprogrammierung, haben begrenzten Internetzugang und werden nach Ansicht einiger Experten in die Kim-Il-Sung-Militärakademie eingezogen, wo sie eine spezielle Cyberkriegsausbildung erhalten.

Wer Nordkoreas IT-Expertise gesehen hat, ist im Allgemeinen beeindruckt von seinem Niveau der Raffinesse. In einem Bericht aus dem Jahr 2004 warnte das südkoreanische Verteidigungsministerium, dass Nordkorea bis zu 600 Hacker ausbildete und sein Kompetenzniveau bereits den der fortgeschrittenen Länder erreicht hatte.

Nordkoreas Raffinesse macht es weniger wahrscheinlich, hinter den Angriffen zu stecken, sagten einige Forscher. Der Code, der in den Angriffen verwendet wurde, basierte auf dem MyDoom-Virus von mehreren Jahren und es gibt keinen Versuch, Antivirus-Software zu umgehen - sicherlich etwas, das ein Angriff durch kenntnisreiche Programmierer tun würde.

Auch wenn es hinter den Angriffen war, Nord zu sehen Koreanischer Internetverkehr kann ein kniffliges Geschäft sein.

Während das Land einen eigenen Block von IP-Adressen (Internet Protocol) hat, wird anscheinend keiner von ihnen verwendet, und die wenigen nordkoreanischen Websites, die im Internet existieren, sind fast alle lokalisiert in China oder Japan.

Stattdessen erfolgt die Konnektivität für das Land über Verbindungen zu chinesischen Anbietern, wodurch der Verkehr als chinesisch erscheint. Es wäre nur bei sorgfältigerer Analyse der einzelnen verwendeten Adressen möglich, nordkoreanische Daten zu vermuten.

Bislang gibt es keine eindeutigen Beweise dafür, woher die Attacken kamen, so dass keine Partei ausgeschlossen werden kann. Die Regierungen anderer Nationen, die mit ziemlicher Sicherheit in dieselbe düstere Welt der Cyberspionage verwickelt sind, tun ihr Bestes, um ihre Spuren zu verwischen. Warum sollte Nordkorea das nicht auch tun?

Der wahre Ursprung der Angriffe der Woche wird wahrscheinlich nie bekannt sein, aber eines ist sicher: Während die Welt sich immer mehr auf das Internet und Computer verlässt, werden sie nicht die letzten sein.