“Darknet Diaries Deutsch”: Der Mann, der WannaCry stoppte
Der Securityforscher MalwareTech stoppt die Ransomware WannaCry und wird dadurch in eine Welt hineingezogen, die er sich nie hätte vorstellen können.
Die Ransomware WannaCry
JACK: Oh Mann Mann Mann, ich dreh durch, ich flipp aus! Nachdem ich es wirklich jahrelang versucht habe, den heutigen Gast in die Sendung zu bekommen, hat er endlich zugesagt. Ich freue mich riesig auf diese Folge. Ich hab ihm über Jahre immer wieder Nachrichten geschrieben, alle ungefähr nach dem Motto: Hey, kann ich dich interviewen? Und er hatte jedes Mal die gleiche Antwort. Er nur so: Wer bist du? Ich sagte dann so was wie: Oh, ich bin Podcaster und würde wirklich gerne deine Geschichte hören. Und er: Nein, danke. Eine gute Antwort. An seiner Stelle hätte ich auch nicht mit mir reden wollen. Dann sah ich ihn auf einer Party auf der Defcon, und als ich ihn zum ersten Mal persönlich ansprach, hat er sich hinter einem Schild versteckt, um nicht gesehen zu werden.
MALWARETECH: Also, ich falle einfach auf in einer Menschenmenge, deshalb habe ich gelernt, dass Schilder meine besten Freunde sind. Man kann sich hinter einem Laternenpfahl verstecken, hinter einem Baum oder eben hinter einem Schild. Aber wenn ich mitten im Raum stehe, zieht das viel mehr Aufmerksamkeit auf sich, als ich vielleicht unbedingt will - obwohl ich mittlerweile an einem Punkt bin, an dem ich, glaube ich, ganz gut damit umgehen kann. Aber ich erinnere mich an unsere erste Begegnung. Ich glaube, Teil der seltsamen Situation war, dass ich einfach schlecht Gesichter erkennen kann, und du beim ersten Mal auch noch eine Maske getragen hast.
JACK: Das stimmt, ich war verkleidet. Und ja, ich habe ihn um ein Interview gebeten, und er hatte keine Ahnung, wer ich war. Er dachte sich nur: Wer bist du?
MALWARETECH: Zu meiner Verteidigung: Es gibt keine Fotos von dir im Internet, ich habe nachgesehen. Ich konnte es also unmöglich wissen.
JACK: Das stimmt. Ich geb mir wirklich Mühe, dass keine Fotos von mir im Internet sind. Ich bin eine sehr private Person. Jedes Mal, wenn ich ihn um ein Interview bat, war es jedenfalls dasselbe: Wer bist du? Nein, danke.
MALWARETECH: Also, ich erinnere mich, dass wir ein ziemlich langes Gespräch hatten, und dann bist du weggegangen und ohne Maske zurückgekommen und wolltest das Gespräch wieder aufnehmen, und ich hatte keine Ahnung, wer du warst. Ich dachte nur: Wer ist dieser Typ?
JACK: Okay, ja, stimmt, ich trage viele Verkleidungen. Also ja, das geht zum Teil auf meine Kappe. Aber ich freue mich, heute endlich verkünden zu können, dass ich MalwareTech interviewe.
MALWARETECH: Ich bin MalwareTech und ich bin anonymer Security-Forscher.
JACK: Wir starten die Geschichte Anfang 2017. Sein Name, er sagte es, ist MalwareTech, und er ist ein anonymer Security-Forscher. Er erforschte Schadsoftware und veröffentlichte seine Ergebnisse unter diesem Pseudonym. Er hat niemals auch nur ein Bild von sich im Internet gepostet. Sein Twitter-Profil ist nur das Foto einer Katze mit Brille. Niemand wusste, wer er war oder wie er aussah.
MALWARETECH: Also, ich bin seit etwa 2016 Cybersecurity-Analyst. Ich hab mich dabei hauptsächlich auf ne Kombination aus Schadsoftware, Reverse Engineering und Informationen über Cyber-Bedrohungen spezialisiert. Meine Aufgabe war es im Grunde, Botnet-Schadsoftware per Reverse Engineering zu analysieren und dann Wege zu finden, deren Command-and-Control-Infrastruktur so zu überwachen, dass wir sehen konnten, wer infiziert wurde. Unser Ziel war’s also, externe Bedrohungsanalysen durchzuführen. Anstatt also im Netzwerk von jemandem zu sein und zu sagen: „Hey, schaut mal, hier gibt’s Anzeichen, dass ihr mit Schadsoftware infiziert seid", war unser Ziel, im Netzwerk der Angreifer zu sein, alle Opfer der Schadsoftware zu sehen und sie dann darauf aufmerksam zu machen, dass sie infiziert sind.
JACK: Wo hast du damals gelebt? War das in Cornwall?
MALWARETECH: Nein, in Devon. Also, gleich nördlich von Cornwall. Ziemlich nah an der Grenze, um genau zu sein.
JACK: Ich glaube, ich habe eine Serie gesehen - es gibt Fernsehserien, die in Cornwall spielen, ich glaube, es war – Doc Martin, oder?
MALWARETECH: Ja, genau die war’s. Ich glaube, es gab auch ein paar Folgen in Devon, ich erinner mich, dass meine Eltern da sehr aufgeregt waren. Sie riefen mich einmal an und sagten: „Hier filmen irgendwelche berühmten Leute in unserer Stadt." Wir leben mitten im Nirgendwo, also gibt es da keine berühmten Leute. Jede Art von Dreharbeiten ist ne riesige Sache. Also – du hast es wahrscheinlich ein- oder zweimal im Fernsehen gesehen.
JACK: Ja. Es ist ein sehr malerischer Ort. Wunderschön.
MALWARETECH: Ja, also da, wo ich lebe, in Nord-Devon, haben wir einen riesigen, langen Strand, – etwa fünf, sechs Kilometer lang – . Da landet eine schöne Atlantik-Dünung, die, glaube ich von den Hurricanes unten im Golf kommt. Wir getten da also wirklich, wirklich große Wellen. Wenn man schon so nah am Meer lebt, was hat man da für’n Hobby? Wir waren ja aus dem Landesinneren hergezogen. Die naheliegende Antwort war, na klar, Surfen. Damit hab ich dann angefangen. Und es stellte sich raus, dass mir das wirklich Spaß macht - viele Leute bringen das gar nicht mit England in Verbindung. Die denken, dass es da hauptsächlich so Felsstrände, Kieselsteine und sowas gibt oder sie denken an Orte wie Blackpool. Aber es gibt einige echt gute Surfspots an der Südwestküste, und ich wohnte da zufällig direkt neben einem. Naja, eines Tages wache ich jedenfalls auf, und in allen Nachrichten wird berichtet, dass viele, viele britische Krankenhäuser von dieser Ransomware infiziert sind.
REPORTER: Wir beginnen diese Stunde mit Eilmeldungen. Eine Reihe von Operationen wurde abgesagt oder an andere NHS-Anbieter umgeleitet, nachdem es einen Cyberangriff auf einige der großen Krankenhäuser in London gab.
JACK: Die Ransomware sollte bald WannaCry genannt werden, und sie traf unzählige Krankenhäuser überall in Großbritannien. Ihre Computer wurden infiziert und dann komplett verschlüsselt. Man konnte sie überhaupt nicht mehr benutzen und musste Bitcoin bezahlen, um sie wieder freizuschalten. Diese Infektion zwang Krankenhäuser, Patienten abzuweisen und Eingriffe abzusagen. Es war schrecklich.
MALWARETECH: Also, ich glaube, der Konsens ist, dass es jemand war, der im Auftrag der nordkoreanischen Regierung gehandelt hat.
JACK: Es ist auch sehr interessant, wie es dazu kam. Wir glauben, dass es die NSA war, die den Exploit entwickelt hat, also einen Code, der Schwachstellen in Software ausnutzt, den sie EternalBlue nannte. Übrigens hat die NSA diese Schwachstelle in Windows, Microsoft Windows, einem US-Unternehmen also, gefunden, aber Microsoft nicht gesagt, dass sie diese wirklich krass Schwachstelle in Windows haben. Und es verblüfft mich absolut, dass die NSA Schwachstellen in US-Unternehmen entdeckt und dann diesen Unternehmen nicht sagt, dass ihr Produkt angreifbar ist. Aber es kommt noch schlimmer. Dann verlor die NSA irgendwie die Kontrolle über diesen Exploit, und er landete in den Händen von jemandem, der sich die Shadow Brokers nannte.
MALWARETECH: Allein die Umstände, die zu WannaCry geführt haben, waren crazy. Da war natürlich das Leak der Shadow Brokers, und die Shadow Brokers wurden bisher nicht zugeordnet, aber es wird allgemein angenommen, dass es sich um den russischen Geheimdienst handelt. Also, der russische Geheimdienst hackt die NSA, stiehlt eine ihrer wertvollsten Schwachstellen, leakt sie ins offene Internet, woraufhin Nordkorea sie aufgreift und beschließt, damit Ransomware zu entwickeln. Und wir sind uns bis heute nicht einmal sicher, ob WannaCry damals überhaupt schon veröffentlicht werden sollte. Es gibt viele Anzeichen im Code, dass es sich um eine laufende Arbeit gehandelt haben könnte, die versehentlich etwas früher als beabsichtigt durchgesickert ist.
JACK: Wir glauben, dass die Nordkoreaner die Ransomware auf die Welt losgelassen haben, nur um damit etwas Geld zu verdienen - was schon verrückt klingt. Kein Staat sonst betreibt solche cyberkriminellen Aktivitäten, um mit Ransomware Geld zu machen. Aber ein Grund, warum wir glauben, dass der Exploit zu früh veröffentlicht wurde, ist, dass ziemlich schnell entdeckt wurde, dass es keine Möglichkeit gab, nachzuverfolgen, wer überhaupt das Lösegeld bezahlt hat.
MALWARETECH: Normalerweise würde Ransomware für jedes einzelne Opfer eine einzigartige Bitcoin-Adresse generieren, und dann können sie feststellen, ob dieses Opfer bezahlt hat, indem sie prüfen, ob eine Zahlung in dieser Bitcoin-Wallet eingegangen ist. Aber es gab einen Fehler im Code, durch den nur etwa drei Bitcoin-Wallets generiert wurden. Alle Zahlungen gingen also an diese drei Bitcoin-Wallets, die Täter hatten keine Möglichkeit nachzuvollziehen, wer bezahlt hatte und wer nicht. Obwohl es also, glaube ich, als Ransomware gedacht war oder zu einem späteren Zeitpunkt Ransomware werden sollte, war es zum Zeitpunkt der Veröffentlichung oder des Leaks im Grunde ein Datenvernichter. Es gab keine realistische Möglichkeit, seine Daten zurückzubekommen.
JACK: Was für Dreckskerle, oder? Zum einen, diese Ungeheuerlichkeit, dass ein Land Krankenhäuser erpresst, um ein bisschen Geld zu verdienen. Zum anderen aber eine Ransomware zu veröffentlichen, die so schlecht ist, dass sie nicht einmal richtig funktioniert; sie legt einfach nur Unternehmen lahm, ohne irgendeine Möglichkeit, das rückgängig zu machen. Nordkorea hat also nicht viel Geld damit verdient und der Welt einfach grundlos ein blaues Auge verpasst.
MALWARETECH: Ich glaube, ein wesentlicher Grund, warum sie nicht viel Geld verdient haben, war, dass sehr früh herauskam, dass die Dateien eben nicht entschlüsselbar waren. Eigentlich sofort nach den ersten Infektionen schlugen Analysten Alarm: „Zahlt das Lösegeld nicht. Ihr werdet eure Daten nicht zurückbekommen."
JACK: Natürlich war all das genau MalwareTechs Spezialgebiet. Schadsoftware-Forschung ist sein täglich Brot. Er will mehr wissen.
MALWARETECH: Also, die Sache mit Ransomware ist ja, dass sowas damals hauptsächlich per Phishing-E-Mail verbreitet wurde. Bei so einem Angriff wären ein oder zwei infizierte Organisationen normal gewesen. Aber wenn man zehn, zwanzig, dreißig verschiedene Teile derselben Organisation infiziert sieht, dann sind das entweder sehr viele Leute, die auf Phishing-Versuche reinfallen, oder es ist kein Phishing. Mein erster Instinkt war: Das ist kein Phishing. Das trifft viel zu viele Organisationen, viel zu viele Teile derselben Organisation. Es muss etwas Größeres sein. Also ging ich zu meiner Freundin Cathy und fragte sie nach einem Sample davon. Nachdem ich mir das angesehen hatte, dachte ich: „Oh, das ist echt übel."
Das war keine Standard-Ransomware, die zu dieser Zeit eben ausschließlich durch Phishing oder auch Botnets verbreitet wurde. Ich glaube nicht, dass jemals zuvor jemand eine wurmfähige Ransomware entwickelt hatte. Mir wurde klar: Diese Ransomware verbreitet sich völlig ohne fremde Hilfe von Computer zu Computer. Sie braucht keinen Benutzer, der auf einen bösartigen Link klickt oder eine eigenartige E-Mail öffnet. Sie gelangt einfach auf einen Computer, sucht nach anderen Computern, die sie hacken kann, hackt sie dann, infiziert sie und wiederholt diesen Prozess immer und immer wieder. Das war der Punkt, an dem mir klar wurde, dass wir es mit etwas zu tun haben, was es vorher noch nie gab.
JACK: Das Ding verbreitete sich rasend schnell. Hunderte von Netzwerken verbreiteten es an Hunderte weitere. Bald waren Tausende infiziert, die alle versuchten, es an Tausende weitere zu verbreiten. Das Internet brannte an diesem Tag wie ein unkontrollierbares Lauffeuer.
MALWARETECH: Ich war damit beauftragt, die Ransomware zu stoppen, aber meine Erfahrung vorher war, dass das nahezu unmöglich ist. Manchmal kann man sie nachträglich entschlüsseln. Es gibt Fehler in der Verschlüsselung, man kann die Verschlüsselung brechen und die Dateien der Leute zurückbekommen, aber eine sich aktiv ausbreitende Ransomware zu stoppen, das ist fast unmöglich. Manchmal gibt es eine Schwachstelle, durch die wir uns in ihren Command-and-Control-Server hacken und dem ein Ende setzen können. Das war es, wonach wir dann gesucht haben.
JACK: Aber als er den Code der Ransomware durchging, bemerkte er etwas. Es gab einen seltsamen Domainnamen in diesem Code, eine URL, nur eine lange Reihe von Kauderwelsch-Buchstaben mit .com am Ende. Er schaute nach; die Domain war nicht registriert.
MALWARETECH: Als ich diese unregistrierte Domain im WannaCry-Code sah, dachte ich: „Super, das ist wahrscheinlich ein Command-and-Control-Server." Also habe ich die Domain erstmal registriert und dann überlegt, was ich mit dem Code und der Kontrolle über die Domain tun könnte. Vielleicht können wir ne Schwachstelle im WannaCry-Code ausnutzen, vielleicht die Schadsoftware zum Absturz bringen oder irgendetwas tun, das ihre Verbreitung stoppen könnte. Aber es stellte sich heraus, während wir also versuchten herauszufinden, was der Zweck dieser Domain ist, dass wir WannaCry bereits gestoppt hatten, denn die Domain war ein Kill-Switch.
JACK: Ohne dass er es überhaupt bemerkte, hörte die WannaCry-Schadsoftware in dem Moment, als er diese Domain aktivierte, auf, sich zu verbreiten – einfach plötzlich und überraschend.
MALWARETECH: Jemand hatte auf Twitter gepostet, dass WannaCry gestoppt wurde, dass jemand einen Kill-Switch in WannaCry aktiviert hat. Und wir wussten tatsächlich erst einige Stunden später, dass wir den Kill-Switch aktiviert hatten.
JACK: Der Zweck dieser Domain im Code war, dass die Schadsoftware, bevor sie sich verbreitet, zuerst prüft, ob die Domain online und erreichbar ist. Wenn ja, stoppt die Malware alles, was sie tut. Da MalwareTech sie gerade registriert und eingerichtet hatte, löste das den Kill-Switch aus und deaktivierte im Grunde einen der brutalsten und verheerendsten Ransomware-Angriffe, den Großbritannien je gesehen hat.
MALWARETECH: Währen wir uns noch den Code ansahen, war es schon in den Medien, dass wir es gestoppt hatten. Wir dachten nur: „Oh, okay."
JACK: Ja, es wurde bereits berichtet, dass jemand WannaCry gestoppt hatte, bevor er überhaupt wusste, dass er es getan hatte. Aber warte mal, wenn er die Kontrolle über diese Domain hat, kann er dann nicht eine Art Überwachungstool einrichten, um zu sehen, welcher Traffic zu dieser Domain geht?
MALWARETECH: Wir hatten eigentlich großes Glück, dass wir darin Profis waren: Ein Großteil unserer Arbeit bestand darin, Wege in Botnetze zu finden und dann diese Analysedaten zu sammeln. Wir hatten also tatsächlich schon das System dafür eingerichtet, was super war. Spitze, dachte ich, wir haben die Analysedaten. Wir können sehen, wie viele Systeme WannaCry getroffen hat. Aber während ich mich darauf konzentrierte, fragten sich alle draußen: „Wer ist dieser Typ eigentlich, der den größten Ransomware-Angriff der Welt gestoppt hat?" Währenddessen hatte ich keine Ahnung, dass das vor sich ging, bis ich’s dann auf Twitter sah und nur dachte: „Oh, oh."
JACK: Die Sache ist, er twitterte von seinem Benutzernamen aus, MalwareTech, all die Analysedaten, die bei dieser Domain eingingen. Das ließ die Leute erkennen: MalwareTech ist der Typ, der den Kill-Switch kontrolliert. Er ist derjenige, der WannaCry gestoppt hat, da er ja all diese Analysedaten hatte und sehen konnte, was zu dieser Domain ging. Aber es ist nicht so, dass jeder diese Teile dann auch so zusammengesetzt hat. Einige Leute dachten, okay, wenn er diese Domain kontrolliert, dann muss das bedeuten, dass er derjenige ist, der die Schadsoftware geschrieben hat.
MALWARETECH: Für viele Strafverfolgungs- und Geheimdienste war zu diesem Zeitpunkt, ich derjenige, der WannaCry erschaffen hat. Ich bin die Person, die für WannaCry verantwortlich ist. Das ist meine Domain, ich kontrollier sie. Das führte dann zu einem, ja, sehr interessanten Szenario, da alle irgendwie verwirrt waren – wie kann das sein, warum ist die Domain da, warum kontrolliert dieser britische Teenager sie …? Na ja, 22 war ich wohl, also nicht ganz mehr Teenager. Aber sie fragten sich, warum dieser Typ die Domain kontrolliert, in der diese massive Ransomware steckt, mit der Netzwerke auf der ganzen Welt zerstört werden?
JACK: Hast du das alles im Schlafzimmer deiner Eltern entdeckt bzw. im Haus deiner Eltern?
MALWARETECH: Ja, dieses komische Klischee vom Nerd im Keller seiner Eltern stimmt. Technisch gesehen war es kein Keller, weil unser Haus mehrere Ebenen hat. Die Haustür war eine Ebene höher als die Hintertür, also war es technisch ein Keller, aber andererseits auch wieder nicht. Aber im Grunde war ich im Keller meiner Eltern.
JACK: Sobald die Nachricht herauskam, dass dieser Typ, MalwareTech, derjenige ist, der den größten Ransomware-Angriff der Geschichte gestoppt hat, änderte sich sein ganzes Leben.
Das Ende der Anonymität
MALWARETECH: Für mich lief’s dann in jeder nur erdenklichen Weise schief. Ich hatte es so eingerichtet, dass die Domain über einen Proxy registriert war, der nicht auf mich zurückzuführen sein sollte, aber ich glaube, mein Twitter-Account gab genug Hinweise, um mich zu finden. Mein eigenes Karriereziel war’s eigentlich, ein anonymer Securityfoscher zu sein, dessen Namen niemand kennen muss. Niemand muss wissen, wie ich aussehe. Ich kann einfach in Ruhe meine Blogs veröffentlichen, und niemand muss überhaupt wissen, wer ich bin. Dann bekam ich eine E-Mail von – ich glaube, dem Daily Telegraph, in der stand: „Wir haben deinen richtigen Namen gefunden. Wir haben deine Adresse gefunden. Wir haben die Namen deiner Eltern gefunden, und wir werden es morgen veröffentlichen, und wir hätten gerne einen Kommentar von dir."
Ich hab sie angefleht, meinen Namen bitte nicht zu veröffentlichen. Auch nicht mein Foto. Respektiert einfach meine Privatsphäre. Aber natürlich hatten sie damit die bisher größte Story im Zusammenhang mit WannaCry. Der Daily Telegraph war der erste, der mich tatsächlich korrekt identifiziert hat. Sie wussten also, dass das viele Blicke auf sich ziehen würde, und ich wusste irgendwie auch, worauf das hinauslief. Ich versuchte es trotzdem, obwohl ich wusste, dass sie das veröffentlichen werden, und auch, dass es von hier an nur noch bergab gehen kann. Ich glaube, das war der Montag. WannaCry passierte am Freitag.
Ich wachte am Montag auf; sie hatten meinen Namen veröffentlicht, sie hatten mein Foto veröffentlicht. Die Daily Mail hatte aus irgendeinem Grund meine Hausadresse veröffentlicht. Ich erinnere mich, dass ich mich an die Journalisten wandte und sagte: „Leute, was zum Teufel soll das?" Warum um alles in der Welt müsst ihr meine Privatadresse in der größten Zeitung Großbritanniens veröffentlichen, nachdem ich einen großen kriminellen Angriff gestoppt habe? Das ergibt überhaupt keinen Sinn. Der Journalist entschuldigte sich und nahm’s online raus, aber ich dachte mir: Alter, was geht in jemandes Kopf vor, zu denken, jeder müsse wissen, wo diese Person lebt?
Aber ja, an diesem Tag wachte ich auf und mein Name war in der Welt. Jeder wusste, dass ich es war. Ich konnte nicht auf die Straße, ohne von jemandem erkannt zu werden. Na super, dachte ich mir, das Ende meines bisherigen Lebens. Ich bin nicht länger MalwareTech, der anonyme Forscher. Ich bin jetzt Marcus Hutchins, ich erinnere mich, wie ich dachte: Mein Leben wird jetzt anders verlaufen.
JACK: Sobald sein Name draußen war, fand eine andere Zeitung, die Daily Mail, ein Foto von ihm und veröffentlichte es. Die Schlagzeile lautete: „Surfer-Typ rettet die Welt".
MALWARETECH: Ich glaube, das war die Doppelseite mit meinem Gesicht darauf, oder?
JACK: Ja, Titelseite.
MALWARETECH: Ja. Davor wusste niemand, wie ich aussah, ich glaub, sie waren tatsächlich die ersten, die ein echtes Foto von mir hatten. Meine Mutter liest die Daily Mail, sie kam nach Hause, gab mir die Zeitung, und da war mein Gesicht auf der Doppelseite. Oh mein Gott, dachte ich nur.
JACK: Marcus Hutchins war nun weltberühmt, und jeder wollte mit ihm reden, sogar ich.
MALWARETECH: Da war einer, der er klingelte jede einzelne Stunde an der Tür. Als wir dann sagten: „Hören Sie, bitte hören Sie auf damit", fing er stattdessen einfach an, anzurufen. Irgendwoher hatte er unsere Telefonnummer. Dann hingen mehrere Journalisten einfach auf dem Bürgersteig vor unserer Haustür rum und warteten darauf, dass ich aus dem Haus kam – ich musste tatsächlich über den Gartenzaun klettern, um Essen zu holen, weil die Journalisten einfach nicht verschwinden wollten. Ich verstand damals gar nicht, warum das überhaupt so ne große Sache war. Für eine nicht sehr öffentliche Person wie mich, war das beängstigend.
JACK: Marcus ist eine private Person. Er ist im Umgang mit Menschen etwas unbeholfen, spricht leise. Er will diese Art von Rampenlicht nicht. Das war für ihn ne Qual. Er ist groß und hat riesiges, wuscheliges Haar. Man kann ihn in ner Menschenmenge leicht erkennen, und die Leute hielten ihn überall an, um mit ihm zu reden. „Bist du der Typ, der die Ransomware gestoppt hat?" Und es waren nicht nur irgendwelche Leute und Journalisten. Auch ausländische Geheimdienste waren neugierig auf ihn.
MALWARETECH: In den Monaten nach WannaCry, während die Ermittlungen noch liefen, bevor wir wussten, dass es Nordkorea war, tauchten da plötzlich allerhand ausländische Geheimdienste auf, die sich aber nicht wirklich waren, was eigentlich meine Rolle war. Es gab da einen Vorfall, an den erinner ich mich ziemlich deutlich, als ich in einem fremden Land unterwegs war. Da waren andere Security-Forscher aus einem Nachbarland, die uns zum Mittagessen eingeladen hatten. [Musik] Sie meinten: „Wir möchten echt gerne von deiner Forschung hören. Möchtest du mit uns zu Mittag essen kommen?" Sie gaben uns eine Adresse, und die Adresse lag hinter der Grenze in ihrem Land.
Ich sah das nicht sofort als verdächtig an, weil wir da eben sehr nah an dieser Grenze waren. ich dachte mir, okay, die werden dann wahrscheinlich mehr gute Restaurants in ihrem Land kennen. Treffen wir uns also in ihrem Land zum Mittagessen. Jemand, von dem ich keine Ahnung habe, wer er war oder für wen er arbeitete, tippte mir wortlos aus dem Nichts auf die Schulter und sagte: „Nur damit du’s weißt, das sind Geheimdienstmitarbeiter dieses Landes. Die Leute, die dich zum Mittagessen einladen, arbeiten für ihren ausländischen Geheimdienst. geh lieber zu McDonalds oder einfach irgendwo anders hin."
JACK: Du weißt also nicht, wer dir auf die Schulter geklopft hat. Es war einfach ein Fremder aus der Menge, und dann ist er danach verschwunden.
MALWARETECH: Jep.
JACK: Was?
MALWARETECH: Das war eine der eigenartigsten Erfahrungen meines Lebens.
JACK: Das muss es wirklich gewesen sein – einfach von ner unbekannten Person das gesagt zu bekommen. Und dann zoomt die Kamera weit heraus. „Whoa, Moment mal, lass mich mal …"
MALWARETECH: Ich nehme an, es war wahrscheinlich jemand aus meinem Land. Ich weiß es nicht …
JACK: Warum folgt dir jemand aus deinem Land in ein anderes Land, während du im Urlaub bist? Das ist crazy. Vielleicht war es jemand, der diesen Leuten gefolgt ist, und der sich dachte: „Warte, wer ist dieser Typ, den die…? Oh, ich verstehe."
MALWARETECH: Das ist durchaus möglich. Wir sind nach WannaCry auf dem Radar vieler Leute gelandet. Meine Kollegen nicht so sehr, weil die nicht so in der Öffentlichkeit standen wie ich. Ich war derjenige, der zuerst aufgespürt wurde, also habe ich den größten Teil der ganzen Aufregung abbekommen. Aber ich musste tatsächlich in ein paar verschiedene Länder reisen und mit deren Strafverfolgungsbehörden sprechen und ihnen meine Seite der Geschichte erzählen, da es da offensichtlich ne Menge Misstrauen gab. Die dachten sich: Niemand wusste, woher WannaCry kam, und ich war die einzige Verbindung. Alles, was sie wussten, war, dass dieser Wurm aus dem Nichts kam und es nur eine einzige Domain im Code gibt, und die ist mit Marcus Hutchins in Großbritannien verbunden. Ich ging dann im Grunde auf so’ne Art – naja, man könnte fast sagen, Entschuldigungstour, aber ohne Entschuldigung, weil ich ja nicht verantwortlich bin.
Ich musste meine Seite der Geschichte erzählen, also erklären, warum wir die Domain registriert haben, wie es dazu kam. Danach dann – es war wohl im Oktober, also gute sechs oder sieben Monate nach WannaCry, gingen die NSA und ich glaube die australischen Geheimdienste an die Öffentlichkeit, alle zeigten mit dem Finger auf Nordkorea. Danach legte sich die Aufregung ein bisschen. Aber in der Zeit zwischen dem Stoppen von WannaCry und der öffentlichen Zuschreibung Richtung Nordkorea gab es allerhand – ich weiß nicht, wie ich es beschreiben soll, aber sagen wir mal sehr verdächtigen Situationen, denen ich aus dem Weg gehen musste. Ich vermutete, dass die Leute eher finstere Absichten hatten, die wollten mich entweder befragen oder sie haben mich auch in ihr Land eingeladen, um angeblich auf ihren Konferenzen zu sprechen. Von solchen Sachen gab es viel in diesem Zeitraum und machte das zu ner sehr sehr seltsamen Zeit in meinem Leben.
JACK: Mann, wie verrückt ist das, in ein andere Land eingeladen zu werden, um zu sprechen, und sich dann zu fragen, ob das ein Trick von ausländischen Geheimdienstmitarbeitern ist, um mich zu verhaften? Oder noch schlimmer, ist Nordkorea sauer auf mich und will es mir heimzahlen, dass ich ihre Ransomware vermasselt habe, und lädt mich zu dieser Sache ein, nur um mich zu entführen? Marcus muss jedenfalls von nun an sehr vorsichtig sein. Ja, auch dieser plötzliche Ruhm zog ne Menge schräger Typen an…
WannaCry schlug im Mai 2017 zu. Drei Monate danach war Defcon, die jährliche Hacker-Konferenz in Las Vegas in den USA. Marcus war schon einmal dort gewesen, 2016, und es hatte ihm gefallen, also flog er 2017 wieder hin. Aber er ahnte nicht, dass diese Defcon sein Leben radikal verändern würde.
MALWARETECH: Es war verrückt, es war Wahnsinn. Ich kann das Gefühl nicht mal annähernd beschreiben.
JACK: Versuch’s trotzdem. Versuch es. Lass uns das hören.
MALWARETECH: Ja, okay, also zum einen ist da das, was wir privat gemacht haben, und dann das, was auf der Konferenz stattgefunden hat. Privat hatten meine Freunde bemerkt, dass die Hotels in Vegas geradezu lächerlich teuer sind. Sie haben ausgerechnet, was wir uns leisten könnten, wenn wir alle unsere individuellen Hotelzimmerkosten zusammenlegen und stattdessen ein Airbnb nehmen. Und fanden dann raus, dass wir dafür tatsächlich eines der größten Anwesen in Las Vegas mit dem größten Saal im ganzen Bundesstaat, glaube ich, bekommen konnten. Also haben wir dieses wahnsinnige Anwesen gemietet. Dann dachten wir uns, na ja, so ein Anwesen ist nicht komplett ohne Supercars, oder? Es gibt da einen Autohändler in Vegas, der solche Luxussportwagen für ein paar Tage vermietet. Meine Freunde sind dahin und holten Supercars. Die standen dann in der Einfahrt und es war nicht mal besonders teuer, die für kurze Zeiträume zu mieten.
Aber mir war natürlich überhaupt nicht klar, dass ich dadurch was inszeniert hab, was mich wie eine sehr, sehr reiche Person aussehen ließ - obwohl die Kosten in Wirklichkeit auf etwa acht bis zwölf Leute aufgeteilt waren. Wir waren also auf diesem crazy Vegas-Trip, wohnten in diesem riesigen Anwesen, fuhren in Supercars rum. Wir schossen auch mit automatischen Waffen. Wir haben in Vegas alles rausgehauen. Die Konferenz selbst aber war dann ganz anders. Ich hatte schon vermutet, dass da viel Aufmerksamkeit auf mir liegen würde, da WannaCry noch so aktuell war. Es war erst drei Monate her. Aber ich hatte keine Ahnung, welches Ausmaß das annehmen würde. Ich erinner mich, das war damals, als die Konferenz noch im Caesar’s Palace stattfand, dem eigentlichen Casino vor dem Forum. Jeder, der damals dort war, wird sich an diese vielleicht sechs bis zwölf Meter breiten Gänge erinnern, die voller Leute waren, Schulter an Schulter.
Ich konnte nicht da durch gehen, weil es so langsam voran ging. Ich machte einen Schritt, jemand erkannte mich, kam zu mir redete mit mir, und bis ich meinen nächsten Schritt machen konnte, kam schon jemand anderes rüber. Ich wollte zu einer Veranstaltung, aber es dauerte zwei Stunden und fünfzehn Minuten, um die vielleicht dreißig Meter Gang entlang zu gehen. Wie schön wäre es, dacht eich mir währenddessen, ins Hotelzimmer zu gehen und mich da zu verstecken. Ein durchschnittliches 15-minütiges Gespräch leert meinen sozialen Akku bis zu dem Punkt, an dem ich schlafen muss Ich bin jetzt, jetzt in diesem Moment, auf einem Level, bei dem ich körperlich das Gefühl habe, gleich ohnmächtig zu werden. Es war eine der wirklich heftigsten Erfahrungen, die ich je gemacht habe. Ich erinnere mich daran, mich so überfordert gefühlt zu haben. Ich wusste ja, dass da wohl Leute auf mich zukommen würden, um mit mir zu reden. Aber ich hatte keine Ahnung, dass es so viele sein würden.
JACK: Was haben sie dir so gesagt?
MALWARETECH: Oh, es alles so positiv, lauter herzerwärmende Sachen. Alle waren einfach wirklich freundlich. Nett, höflich, alles. Die Hacking-Community wird ja immer mal wieder so dargestellt, als gäbe es da allerhand schlechte Menschen, aber ich mich an keine einzige negative Interaktion erinnern. Alle waren so höflich und so toll, aber auf der anderen Seite bin ich einfach ein introvertierter Typ, dieses Maß an Aufmerksamkeit bin ich nicht gewohnt. In mir dachte ich: Das ist ja alles wirklich, wirklich herzerwärmend und unterstützend, aber gleichzeitig fühlt es sich an, als stünde mein ganzer Körper in Flammen.
JACK: Ja. Wow, was für ein Wochenende. Du musst