Leben
05.12.2011

Cyberwar in Korea

McAfee: Attacken auf Südkorea seien bislang nur Testläufe für einen möglichen Cyberwar gewesen.

Nordkorea könnte hinter den Angriffen auf südkoreanische Websites im Juli 2009 und März 2011 stehen. Das berichtet der Antiviren-Softwarehersteller McAfee in einer umfassenden Analyse der Vorgänge. Die Angriffe waren demnach im Vergleich zu denen der Gruppierung Anonymous geradezu "hinterlistig" und "sehr viel gefährlicher" - McAfee sieht diese Attacken allerdings nur als Vorbereitungen für einen möglichen Cyberwar an.

Bereits am 4.Juli 2009 wurden mit einem aus 50.000 PCs bestehenden Botnetz DDoS-Attacken gegen südkoreanische und US-amerikanische Websites gestartet. Betroffen waren neben Banken und Börsen auch zahlreiche Behörden. Obwohl die Angriffe bereits sehr gezielt waren, könnte es sich hierbei nur um Testläufe gehandelt haben. Diese Informationen sind ungemein wichtig im Falle einer kriegerischen Auseindersetzung zwischen den beiden Staaten. McAfee betrachtet hier den Cyberspace, neben Boden, Luft, See und Weltraum, bereits als fünfte Dimension des Gefechtsfeldes.

Exakt 20 Monate später, am 4.März 2011, wurden wieder Angriffe gegen 40 Websites, die im Zusammenhang mit der südkoreanischen und der US-amerikanischen Regierung stehen, gestartet. Da 14 der attackierten Websites bereits 2009 betroffen waren, geht McAfee mit einer 95-prozentigen Wahrscheinlichkeit davon aus, dass beide Angriffe vom selben Urheber ausgingen. Auch dieses Mal waren es DDoS-Attacken, allerdings deutlich raffinierter und aufwendiger als beim ersten Mal. Für den McAfee-Sicherheitsexperte Georg Wicherski ist der betriebene Aufwand mit einem "Lamborghini bei einem Go-Kartrennen" vergleichbar - scheinbar vollkommen übertrieben.

Der Angriff mit einem südkoreanischen Botnetz dauerte zehn Tage an. Währenddessen wurden die infizierten Rechner immer wieder mit Updates versorgt, um etwaige Schwachstellen auszumerzen. Ungewöhnlich war allerdings die Tatsache, dass die Botnetze nach dem Ende der Angriffe die Malware gelöscht und alle Datenträger inklusive Master Boot Record (MBR) überschrieben wurden.

Südkorea hatte bereits nach den ersten Angriffen reagiert und mit dem Aufbau einer Cybersicherheitstruppe begonnen, die aus 3.000 sogenannten Cybersheriffs bestehen soll und deren Aufgabe der Schutz des Landes vor Angriffen über das Internet ist.