Ransomware WannaCry - Waren es Chinesen ?

Linguistische Analyse des WannaCry Codes

Experten für IT-Sicherheit des Security Spezialisten Flashpoint führten eine linguistische Analyse dutzender Erpressungsmeldungen der Ransomware "Wannacry" durch. Hierbei wurden 28 Bildschirmmeldungen untersucht, bei der die Malware betroffene Anwender über die Zahlung des Lösegeldes zur Entschlüsselung informiert.

Autoren von Wannacry sprechen fließend Chinesisch und Englisch

Die linguistische Analyse der 28 Bildschirmmeldungen, u.a. Chinesisch (vereinfacht & traditionell), Dänisch, Niederländisch, Englisch, Deutsch, Indonesisch, Italienisch, etc., ergab, dass die Programmierer der Malware fließend Chinesisch sprechen (kaum bis gar keine Fehler) und über gute Englisch-Kenntnisse verfügen.

Erst kürzlich hatte Google´s Sicherheitsexperte Neel Metha, sowie Experten von Kaspersky und Symantec, eine Verbindung zu Nord-Korea vermutet. Hierbei im speziellen zum Kollektive "Lazarus APT". Die Experten berufen sich hierbei auf Ähnlichkeiten im Programmiercode welchen man in frühen Versionen von "WannaCry" im Februar 2017 gefunden hatte und der, gemäß Metha, stark angelehnt sein soll den Code einer Malware die das Hacker-Kollektiv APT im Februar 2015 verwendet haben soll.

"Eine Anzahl spezifischer Charakteristika deutet darauf hin, dass die Malware "WannaCry" von einem fließend chinesisch sprechenden Programmierer erstellt wurde. So lassen Bildschirmhinweise wie “帮组” (bang zu) statt “帮助” (bang zhu) [zu deutsch "hilfe"], darauf schließen, dass bei der Programmierung der Bildschirmmeldung ein System mit chinesischen Spracheinstellungen verwendet wurde. Zudem verfügt im Besonderen die chinesische Bildschirmmeldung über eine fehlerfreie Grammatik sowie Punktuation und Syntax. Zwar findet sich ein grammatikalischer Fehler bei der Meldung, der jedoch sich jedoch durch eine Autocomplete-Fehler oder einen versäumte Korrektur nach Copy / Paste erklären ließe."
[Flashpoint Analyse]

Die Experten von Flashpoint betonen zudem, dass eines der verwendeten chinesischen Worte stärker im Sprachgebrauch in Süd-China, Hongkong, Singapur oder Taiwan verankert ist, während ein anderes Wort hingegen stärker auf Zentral-China schließen lässt:

“Der Text verwendet bestimmte Begriffe, die eine geographische Lage weiter einschränken. Ein Term “礼拜” für “Woche,” wird stärker in Südchina, Hong Kong, Taiwan oder Singapur verwendet. Ein anderer Begriff “杀毒软件” für “Anti-Virus” ist hingegen stärker in Zentral-China sprachlich verbreitet”, so die Analysten.

Die englischsprachigen Bildschirmmeldungen der ransomware deuten auf gute Englisch-Kenntnisse des oder der Programmierer hin, jedoch beinhalten sie einen schwerwiegenden grammatikalischen Fehler der darauf schließen lässt, dass der Autor wohl kein Muttersprachler ist.

Die Sicherheitsforscher von Flashpoint vermuten, dass die Verwendung des Lazarus APT Codes in der WannaCry Malware bewusst verwendet wurde um eine falsch Fährte nach Nord-Korea zu legen, schließen jedoch auch die Vermutung nicht aus, dass das APT Hackerkollektiv aus Nord-Korea chinesische Programmierer als Freelancer angeheuert hat, um den Code zu programmieren.