Stuxnet

Stuxnet

Stuxnet ist ein Computerwurm, der im Juni 2010 entdeckt und zuerst unter dem Namen RootkitTmphider beschrieben wurde.[T 1] Das Schadprogramm wurde speziell für ein bestimmtes System zur Überwachung und Steuerung technischer Prozesse (SCADA-System) der Firma Siemens, die Simatic S7, entwickelt. Bisher ist bekannt, dass in die Steuerung von Frequenzumrichtern der Hersteller Vacon aus Finnland und Fararo Paya in Teheran eingegriffen wird. Frequenzumrichter werden eingesetzt, um die Geschwindigkeit von anderen Geräten wie beispielsweise Motoren zu steuern. Solche Steuerungen werden vielfach in diversen Industrieanlagen wie Wasserwerken, Klimatechnik, Pipelines usw. eingesetzt[T 2]

Da bis Ende September 2010 der Iran den größten Anteil der infizierten Computer stellte[T 3] und es zu außerplanmäßigen Störungen im Iranischen Atomprogramm kommt, wird vermutet, dass Stuxnet mit dem Ziel geschrieben wurde, die Leittechnik der Uran-Anreicherungsanlage in Natanz[1] oder des Kernkraftwerks Buschehr[2] zu stören. Die genauen Ziele, Autoren und Auftraggeber sind allerdings bisher unbekannt.[T 4]

Inhaltsverzeichnis

Eigenschaften und Besonderheiten

Stuxnet gilt aufgrund seiner Komplexität und des Ziels, Steuerungssysteme von Industrieanlagen zu sabotieren, als bisher einzigartig. Die öffentlich verfügbaren Erkenntnisse basieren auf den Aussagen mehrerer IT-Sicherheitsspezialisten, die das Verhalten bzw. die ausführbaren Dateien der Schadsoftware analysierten. Die Beurteilungen basieren daher teilweise auf Interpretationen, da weder der Quelltext noch Ziele oder Autoren bekannt sind.

Aufgrund der technischen Eigenschaften und der Komplexität von Stuxnet wird ein für eine Schadsoftware außerordentlich hoher Entwicklungsaufwand vermutet. Der Zeitaufwand wird bei einer vorhandenen Testumgebung für Hard- und Software auf mindestens sechs Monate, der Personalaufwand auf mindestens fünf bis zehn Haupt-Entwickler sowie zusätzliches Personal für Qualitätssicherung und Management geschätzt. Neben dem Fachwissen für die Entwicklung der Software mussten zusätzliche Kenntnisse über bisher noch nicht öffentlich bekannte Sicherheitslücken und Zugang zu geheimen Signaturen zweier unabhängiger Firmen vorhanden sein. Es wird vermutet, dass die Erstinfektion in der Zielumgebung mittels eines USB-Wechsellaufwerks erfolgt sein könnte.[T 5]

Die Einzigartigkeit von Stuxnet zum Zeitpunkt seiner Entdeckung zeigt sich insbesondere in der Art seiner Verbreitung durch

  1. Ausnutzung mehrerer teilweise bis dahin unbekannter Sicherheitslücken der Microsoft-Betriebssysteme ab Windows 2000 bis zu Windows 7 oder Windows Server 2008 R2,[T 6]
  2. Installation eines Rootkits in diesen Betriebssystemen mit Hilfe gestohlener digitaler Signaturen der taiwanischen Hardware-Hersteller Realtek und JMicron Technology,[T 7]
  3. genaue Kenntnisse des Prozessvisualisierungssystems WinCC zur Überwachung und Steuerung technischer Prozesse mit Simatic S7 (engl. ICS: Industrial Control System) sowie
  4. Installation eines weiteren Rootkits in der Steuerung einer solchen PCS-7-Anlage (SPS, engl. PLC: Programmable Logic Controller).[T 8]

Infektionsweg

Erstmals wurde Stuxnet im Juni 2010 von Sergej Ulasen von der weißrussischen Firma VirusBlokAda nach einem Hinweis einer iranischen Vertragsfirma identifiziert. Es kam bei einer dortigen Anlage zu Systemabstürzen und anderen Störungen.[3] Seitdem wird die Funktionsweise der Schadsoftware von verschiedenen Herstellern von Sicherheitssoftware diskutiert. Auf der Virus Bulletin 2010 Conference[4] wurde von Symantec der bisherige Kenntnisstand im W32.Stuxnet Dossier zusammengefasst, das aktualisiert wird, wenn neue Erkenntnisse vorliegen. Nach diesen Erkenntnissen greift Stuxnet Simatic-S7-Anlagen an, deren Konfiguration bestimmte Eigenschaften aufweist.

Im Allgemeinen werden Simatic-Anlagen mit einem speziellen Notebook, dem „SIMATIC Field PG“ projektiert, in Betrieb genommen und gewartet.[T 9] Auf einem solchen Programmiergerät (PG) ist neben dem eigentlichen Betriebssystem weitere Software zur Programmierung mit STEP 7 und zur Prozessvisualisierung mit WinCC vorinstalliert. Außerdem ist das Gerät mit Ethernet-, USB- und PROFIBUS-Schnittstellen ausgerüstet.

Die Projektierung und Entwicklung der HMI-Software (Human-Machine-Interface) findet innerhalb eines Firmen-Netzwerkes (LAN) statt, dessen Internetzugang durch eine Firewall abgesichert ist. Auf einem Field-PG ist dazu mindestens ein STEP-7-Projektordner vorhanden. Die Kopplung mit einer SPS wird softwareseitig durch die Softwarebibliothek der WinCC-DLL (Dynamic Link Library) hergestellt.[T 2] Zur Inbetriebnahme, Diagnose und Wartung wird das Field-PG mit der eigentlichen Steuerungsanlage verbunden. Diese ist in der Regel eher selten in einem LAN eingebunden oder gar mit dem Internet direkt verbunden.[T 10]

Anhand der technischen Eigenschaften von Stuxnet ergibt sich ein mögliches Angriffsszenario:[T 5] Nach der Erstinfektion in einem Betrieb versucht Stuxnet sich innerhalb des LANs zu verbreiten, um Field-PGs ausfindig zu machen. Auf diesen werden sowohl alle vorhandenen STEP7-Projektordner als auch die WinCC-Library infiziert. Sobald ein betroffenes PG mit einer geeigneten Steuerungsanlage verbunden wird, versucht Stuxnet deren Programmierung zu verändern. Diese Veränderungen werden vor den Operatoren versteckt, Stuxnet ist also auch ein PLC-Rootkit. Für einen Computerwurm ist das Schadprogramm außergewöhnlich groß. Es führt allen benötigten Code mit sich, um sich mit einem Peer-to-Peer-Mechanismus selbst aktualisieren zu können, ohne auf eine dauerhafte Internetverbindung angewiesen zu sein.[T 11] Zusätzlich gibt es rudimentäre Funktionen, um einem command and control server wie in einem Botnet Rückmeldungen geben zu können.

Betriebssystem-Ebene

Um sein Ziel zu erreichen, muss Stuxnet erst einmal in die Nähe des Zielsystems kommen. Dazu wurden mehrere inzwischen geschlossene Sicherheitslücken in Windows verwendet, sog. Zero-Day-Exploits. Davon betroffen sind die 32-Bit-Betriebssysteme Win2K, WinXP, Windows 2003, Vista, Windows Server 2008, Windows 7 oder Windows Server 2008 R2. Stuxnet versucht sich auf einem der genannten Systeme zu installieren, sobald ein USB-Speichermedium angeschlossen wird. Dazu wird das fehlertolerante Parsen der autorun.inf durch Windows ausgenutzt. Diese Datei enthält sowohl den eigentlichen Schadcode als auch an ihrem Ende gültige Autorun-Informationen, nach der die Datei eine ausführbare EXE-Datei ist. Auch wenn die Autostart-Option abgeschaltet wurde, steht im Kontextmenü eine Open-Funktion zur Verfügung, die das manuelle Ausführen des Schadcodes erlaubt.[T 12]

Zu Beginn der Infektion prüft Stuxnet zuerst, ob der Rechner schon infiziert ist und, wenn ja, ob seine gespeicherten Konfigurationsdaten aktuell sind. Danach prüft er auf ein passendes 32-Bit-System. Je nach Version des Betriebssystems gibt er sich durch zwei verschiedene Zero-Day-Exploits mittels Privileg-Eskalation erweiterte Rechte. Bis zur Version Windows XP SP2 verwendet Stuxnet dazu einen Fehler im Kernel-Mode Treiber win32k.sys[T 13], bei neueren Versionen benutzt er eine Lücke im Task-Scheduler.[T 6] Anschließend versucht Stuxnet seinen Schadcode in installierte Antiviren- und Windows-Systemdienste zu injizieren.[T 14] Die eigentliche Installation führt Stuxnet danach in einem eigenen, vom kompromittierten System als vertrauenswürdig eingestuften Prozess aus. Neben anderen Dateien[T 15] installiert der Wurm mit Hilfe der signierten Zertifikate auch zwei Treiber-Dateien mrxcls.sys und mrxnet.sys im System, die die weitere Verbreitung von Stuxnet auch nach einem Neustart sicherstellen sollen.

Nach der Installation des Windows-Rootkits stehen Stuxnet mehrere Möglichkeiten zur Verfügung, sich in einem LAN zu verbreiten, in dem nur ein eingeschränkter oder gar kein Internetzugang möglich ist:[T 16] Es werden RPC-Server- und -Client-Programme installiert, die die Peer-to-Peer-Kommunikation zwischen mehreren infizierten Rechnern erlaubt. Die verschiedenen Stuxnet-Instanzen sind dadurch in der Lage, sich auf eine vorhandene neuere Version zu aktualisieren. Weiterhin versucht sich Stuxnet über die Verzeichnis-Freigaben aller Benutzer eines Computers und der Domäne auf weiteren Computern zu installieren.

Der Computerwurm nutzt eine Sicherheitslücke in der Verwaltung des Druckspoolers („Print Spooler zero-day vulnerabilty“), um Dateien in das %System%-Verzeichnis zu schreiben. Inzwischen hat sich herausgestellt, dass diese Sicherheitslücke von der Zeitschrift Hakin9 zwar schon im April 2009 beschrieben wurde, aber in freier Wildbahn zum ersten Mal von Stuxnet ausgenutzt wurde.[T 17] Diese Lücke wird nur ausgenutzt, wenn das Systemdatum vor dem 1. Juni 2011 liegt.[T 16]

Ein Pufferüberlauf im Windows Server Service (WSS)[T 18] wurde schon von dem Computerwurm Conficker alias Downadup ausgenutzt. Stuxnet verwendet diesen Fehler ebenfalls, um sich per SMB auf weiteren Computern zu installieren. Allerdings müssen dazu bestimmte zeitliche Rahmenbedingungen erfüllt sein:

  1. Das aktuelle Datum liegt vor dem 1. Januar 2030.
  2. Die jeweiligen Virendefinitionsdateien wurden zuletzt vor dem 1. Januar 2009 aktualisiert.
  3. Die Zeitmarken von kernel32.dll und netapi32.dll liegen nach dem 28. Oktober 2008 (Windows Patch Day).[T 16]

In einer seit März 2010 nachgewiesenen Version von Stuxnet[T 1] wird eine Schwachstelle in der Behandlung von LNK-Dateien[T 19] verwendet, um den Wurm über neu angeschlossene USB-Laufwerke verbreiten zu können, ohne auf eine Netzwerkverbindung angewiesen zu sein. Dazu genügt es, sich den Verzeichnisinhalt des Laufwerks anzeigen zu lassen. Vor einer Installation prüft Stuxnet, ob durch das Laufwerk schon drei Rechner infiziert wurden. In diesem Fall werden die Dateien[T 20] vom Laufwerk gelöscht. Außerdem findet nach dem 24. Juni 2012 keine weitere Verbreitung statt. Durch Eingriffe in kernel32.dll und netapi32.dll bleiben diese Vorgänge dem Benutzer verborgen.[T 6]

WinCC-Software

Kopplung eines Step7-Programms mit einer SPS über WinCC.
Stuxnet verhindert die Anzeige der eigenen AWL.

Der nächste wichtige Schritt für Stuxnet ist, sich in STEP7-Projektdateien (S7P-Dateien) festzusetzen. Zum einen benutzt er dazu den Server, der die WinCC-Datenbank-Software zur Verfügung stellt. Mit Hilfe des in der Software fest einprogrammierten Kennworts schreibt Stuxnet durch SQL-Befehle eine Kopie seiner selbst in die Datenbank. Sobald der lokale Rechner infiziert ist, wird der Eintrag wieder entfernt, aber gleichzeitig eine CAB-Datei geschrieben, die eine neue Stuxnet-DLL erzeugen kann. Durch Suchvorgänge beim Laden der Systembibliotheken wird dann diese modifizierte DLL geladen, entschlüsselt und installiert.[T 16] Damit ereignet sich eine neue Infektion, die auch ein vorheriges Löschen der Dateien von Stuxnet wieder kompensiert. Zum anderen installiert er zwei Hooks im Simatic Manager für PCS 7.[T 21] Es wird jedes Projekt infiziert, das innerhalb etwa der letzten 3,5 Jahre benutzt oder geändert wurde und das einen Ordner wincproj mit einer gültigen MCP-Datei (typischerweise von WinCC erzeugt) enthält. Von einer Infektion ausgenommen werden Projekte, die nach dem Schema \Step7\Examples\* benannt sind.[T 16]

Die Datei s7otbxdx.dll ist die zentrale Bibliothek, mit der die Kopplung einer SPS mit einer Step7-Anwendung oder einem Field-PG stattfindet. Die originale Datei wird von Stuxnet in s7otbxsx.dll umbenannt und durch eine eigene s7otbxdx.dll ergänzt, damit Schreib- und Lesezugriffe zur SPS überwacht werden können. Insbesondere ermöglicht dieses Vorgehen sowohl das Unterbringen eigenen Schadcodes als Anweisungsliste (AWL, engl. Statementlist STL) in der SPS, als auch diesen Code vor Veränderungen zu schützen. Letztlich wird von der Stuxnet-DLL als SPS-Rootkit kontrolliert, welche Programme mit welchen Parametern in der angeschlossenen SPS ausgeführt werden.[T 2]

Eingriff in die SPS

Die Programme für eine Simatic-S7-Steuerung sind in verschiedene Bausteine mit bestimmten Aufgaben aufgeteilt:

  • Organisations-Bausteine (OB) werden von der SPS-CPU zyklisch abgearbeitet, um Programme auszuführen. Besonders wichtig sind OB1 als zentraler Einstiegspunkt für jedes Programm und OB35 als standardmäßiger Watchdog-Timer.
  • System-Daten-Bausteine (SDB) speichern den konkreten Aufbau einer bestimmten Anlagensteuerung. Hier wird die Konfiguration, beispielsweise Anzahl und Typ, der angeschlossenen Geräte hinterlegt.
  • In den Daten-Bausteinen (DB) sind die Datenstrukturen der jeweiligen Programme abgelegt.
  • Funktions-Bausteine (FC) enthalten den eigentlichen Programmcode. Der OB1 verweist auf mindestens einen FC.
Eine Anlage der Familie SIMATIC S7-300

Stuxnet überprüft vor einer Infektion die SPS auf verschiedene Eigenschaften und verhält sich dem entsprechend unterschiedlich. Es wurden drei verschiedene Infektionsroutinen A, B und C festgestellt. Die Varianten A und B sind für die S7-300[T 22] mit CPU-Typ 315–2 und bestimmten in den SDBs definierten Werten ausgelegt. Diese beiden Varianten wurden inzwischen genauer untersucht. Über die deutlich komplexere Variante C für die S7-400 mit CPU-Typ 417[T 23] wurde bis November 2010 wenig bekannt, da der Programmcode anscheinend deaktiviert oder nur „teilweise fertig“ ist.[T 2]

Durch die Hilfe eines niederländischen Profibus-Experten konnte die Funktionsweise der Varianten A und B näher erklärt werden. Eine Infektion erfolgt nur dann, wenn der Programm-Baustein FC1869[T 2] definiert und im SDB mindestens ein Profibus-Kommunikations-Modul CP-342-5 eingetragen ist. Bis zu sechs dieser Module steuern je 31 Frequenzumformer an, die die Drehgeschwindigkeit von Elektromotoren regeln.[T 24] Durch die Implementierung eines endlichen Automaten mit sechs Zuständen verändert Stuxnet in unregelmäßigen Abständen von 13 Tagen bis zu drei Monaten die von den Umformern einzustellende Frequenz. Anhand der im SDB hinterlegten Identifikationsnummer[T 25] wurde die Stuxnet-Variante A Frequenzumformern der Firma Vacon[5] aus Finnland, die Variante B dem Hersteller Fararo Paya[6] in Teheran zugeordnet.[T 2]

Aktualisierungen und Abruf von Daten

Bei jeder Installation sammelt Stuxnet Informationen über den infizierten Computer und speichert diese verschleiert in einer eigenen Konfigurations-Datei. Unter anderem wird gespeichert:[T 5]

Durch eine Get-Anfrage über Port 80 an www.windowsupdate.com und www.msn.com prüft Stuxnet, ob eine Internet-Verbindung überhaupt möglich ist oder durch eine Firewall verhindert wird. Bei Erfolg werden die gesammelten Daten an die Adressen www.mypremierfutbol.com und www.todaysfutbol.com per Get index.php?data=[DATA] übertragen. Die Server dieser Domains hatten ihren Sitz in Dänemark und Malaysia. Für Stuxnet ist es möglich, sich über diese Mechanismen ähnlich wie in einem Botnetz zu aktualisieren, allerdings wurde dies noch nicht beobachtet.[T 26]

Verbreitung

Die Verbreitung von Stuxnet auf PCs ist deutlich größer als in den Anlagensteuerungen. Im ersten Fall genügt das Vorhandensein des richtigen Betriebssystems, im anderen Fall muss zwingend der Funktionsbaustein FC1869 und die Steuerung der Frequenzumformer vorhanden sein. So war Stuxnet auf sehr vielen PCs nachweisbar, während bei anderen Leitsystemen die Störungen vermutlich unbeabsichtigt waren.[3] Seitdem wird der Wurm von verschiedenen Anti-Virus-Spezialisten analysiert. Wenn nichts anderes angegeben ist, stammen die folgenden Angaben aus dem Kapitel Timeline des W32.Stuxnet Dossiers von Symantec.[T 1]

Datum Ereignis
20. Nov. 2008 Der Trojaner Zlob[7] nutzt zum ersten Mal die LNK-Lücke (MS10-046) aus, die später von Stuxnet verwendet werden wird.
April 2009 Das Magazin Hakin9 veröffentlicht Details zum Print-Spooler-Exploit MS10-061.
Juni 2009 Die erste beobachtete Version von Stuxnet benutzt weder die LNK-Lücke MS10-046 noch signierte Treiber-Zertifikate.
25. Jan. 2010 Der Stuxnet-Treiber wird mit einem Zertifikat von Realtek signiert.
April 2010 Eine Stuxnet-Variante verwendet erstmals Remotecode-Ausführung durch die Windows-Shell (MS10-046).
17. Juni 2010 Virusblokada berichtet von Stuxnet als RootkitTmphider, der die Verarbeitung von Shortcuts/LNK-Dateien zur Verbreitung ausnutzt. Dieser LNK-Exploit wird später MS10-046 benannt.
13. Juli 2010 Symantec fügt eine Erkennung des Trojaner unter dem Namen W32.Temphid ein.
16. Juli 2010 Microsoft veröffentlicht das Security Advisory „Vulnerability in Windows Shell Could Allow Remote Code Execution (2286198)“.

VeriSign widerruft das Realtek-Zertifikat.

17. Juli 2010 ESET findet eine Stuxnet-Version mit einem Treiberzertifikat von JMicron.
19. Juli 2010 Siemens berichtet über Untersuchungen zur Infektion seiner SCADA-Anlagen.

Symantec benennt die Erkennung in W32.Stuxnet um.

ab 20. Juli 2010 Symantec protokolliert den Datenverkehr mit den Command- and Control-Domains.
22. Juli 2010 VeriSign widerruft das Zertifikat von JMicron.
02. Aug. 2010 Microsoft veröffentlicht Patch MS10-046 gegen den Shortcut-Exploit.
06. Aug. 2010 Symantec beschreibt die Funktion von Stuxnet als SPS-Rootkit.
22. Aug. 2010 Symantec kann keine neu infizierten IP-Adressen aus dem Iran mehr feststellen.[T 3]
14. Sep. 2010 Microsoft veröffentlicht den Print-Spooler-Patch MS10-061.

Lt. Siemens sollen weltweit 14 Anlagen betroffen sein. Schäden hätten jedoch nicht festgestellt werden können.[8]

26. Sep. 2010 Der Iran bestätigt Angriffe durch Stuxnet. Es sollen 30.000 Computer befallen worden sein, dabei seien aber keine „ernsthaften Schäden“ aufgetreten.[9] Diese Aussage wird allerdings kurz darauf vom Außenministerium widerrufen. Dagegen wird „dem Westen“ Cyber-Propaganda vorgeworfen.[10]
30. Sep. 2010 Das W32.Stuxnet Dossier wird auf der Virus Bulletin Conference 2010 vorgestellt.

Die Nachrichtenagentur Xinhua berichtet von sechs Millionen befallenen Computern und fast tausend betroffen Anlagensteuerungen in China.[11]

02. Okt. 2010 Siemens wurden bisher 15 befallene Anlagen gemeldet. Davon haben fünf ihren Standort in Deutschland, die übrigen in Westeuropa, den USA und Asien. Bei allen Anlagen sollen keine Schäden aufgetreten sein, und das Virus konnte erfolgreich entfernt werden.[12]
12. Okt. 2010 Microsoft schließt mit Patch MS10-073 eine Lücke zur Privileg-Eskalation beim Laden von Tastaturbelegungen im Kernel.
14. Dez. 2010 Microsoft schließt mit Patch MS10-092 eine Lücke zur Privileg-Eskalation durch Benutzung des Task-Schedulers.
11. Mär. 2011 Bisher haben 24 Siemens-Kunden von einer Infektion berichtet. Es gab in keinem Fall Auswirkungen auf die Anlagen.[13]

Vermutungen über die Urheber und Ziele

IT-Sicherheitsspezialisten, darunter als erster Ralph Langner [14], gehen davon aus, dass Stuxnet gezielt zur Sabotage iranischer Atomanlagen programmiert wurde. Der Aufwand für den Wurm sei gewaltig und teuer gewesen, zudem richte es nur in bestimmten Anlagen Schaden an, andere würden offenbar ohne Schaden lediglich infiziert. Als (unfreiwilliger) Verteiler käme vor allem die russische Atomstroyexport infrage.[15]

Laut Wieland Simon (Siemens) müssen an der Entwicklung des Wurms Experten und Ingenieure aus ganz unterschiedlichen Bereichen beteiligt gewesen sein – neben Windows-Programmierern auch Fachleute der Automatisierungstechnik und von großen Industrieanlagen. Nur ein solches Team wäre in der Lage, einen Schädling zu programmieren, der nacheinander mehrere technisch sehr unterschiedliche Hürden überwindet.[16].

Wegen des großen Programmieraufwandes wird von Jewgeni Kasperski und anderen Fachleuten angenommen, dass der Wurm nicht von Privatpersonen, sondern vermutlich von einer staatlichen Organisation stammt.[17][18] Auch die hohen Entwicklungskosten für den Wurm, die auf einen 7-stelligen Dollar-Betrag geschätzt werden, sprächen dafür.

Mehrere Expertenteams fanden im Wurmcode Textbausteine, die nahelegen, dass die Angreifer ihr Projekt „Myrtus“ nannten. Der deutsche IT-Sicherheitsspezialist Langner wies als erster auf die mögliche Anspielung auf den ursprünglich hebräischen Namen der Bibelfigur Ester hin. Carol Newsom, Professorin für Altes Testament an der Emory University, bestätigte den linguistischen Zusammenhang der hebräischen Wörter für „Myrtus“ und „Ester“ (hebr. Hadassah). Das Buch Ester im Alten Testament erzählt die Geschichte eines geplanten Völkermords der Perser an den Juden, den letztere auf Initiative Esters verhindern können, indem sie ihrerseits die Feinde vernichten.[19]

In den Medien wurde diese Spekulation als Hinweis auf eine mögliche Urheberschaft Israels gewertet.[11] Laut Süddeutsche Zeitung halten die meisten Fachleute diese These allerdings für eine Verschwörungstheorie.[12] Es könnte auch eine falsch ausgelegte Fährte sein.[T 27] Shai Blitzblau, technischer Direktor und Chef von Maglan, einer israelischen IT-Sicherheitsfirma im Militärbereich, ist überzeugt, dass Israel nichts mit Stuxnet zu tun hat. Er vermutet Wirtschaftsspionage gegen Siemens oder eine Art „akademisches Experiment“.[19]

Yossi Melman, Journalist der israelischen Tageszeitung Haaretz, hält Israel für den wahrscheinlichen Urheber. Er führt an, dass der Vertrag des Direktors des israelischen Auslandsgeheimdienstes Mossad, Meir Dagan, letztes Jahr verlängert wurde, da er in wichtige Projekte involviert sei. Zudem hätte Israel den geschätzten Zeitpunkt, bis zu welchem Iran eine Atombombe besitzen soll, überraschend auf das Jahr 2014 nach hinten verschoben.[19]

Laut einem Artikel der New York Times vom 30. September 2010 behauptet ein ehemaliges Mitglied der United States Intelligence Community, dass der israelische Nachrichtendienst Unit 8200, der mit der NSA vergleichbar ist, den Angriff mit Stuxnet ausgeführt habe.[20][21] Laut einem späteren Artikel vom 15. Januar 2011 untersuchten das Ministerium für Innere Sicherheit der Vereinigten Staaten und das Idaho National Laboratory 2008 das betroffene PCS-7-Steuerungssystem von Siemens auf Schwachstellen. Anschließend soll der auf Grundlage dieser Erkenntnisse entwickelte Wurm im israelischen Negev Nuklear-Forschungszentrum getestet worden sein; dort waren Zentrifugen pakistanischer Herkunft errichtet worden, die auch im Iran verwendet werden.[22] Weiter stehen laut Bericht der New York Times vom 15. Januar 2011 in Israels Atomwaffenzentrum Dimona Zentrifugen, die mit den iranischen baugleich sind und daher als Test für den Wurm verwendet worden sein könnten.[22] Die iranische Nachrichtenargentur Press TV bezieht sich in einem Artikel vom 16. Januar 2011 auf eben diesen Artikel in der New York Times vom 15. Januar 2011. Gesagt wird, dass ein US Experte erklärte, dass Stuxnet ein Produkt amerikanischer, israelischer, sowie auch britischer und deutscher Zusammenarbeit ist. Iranische Offizielle werden darin zitiert, dass Stuxnet keine große Bedrohung für den Iran darstellte, da der Virus früh bemerkt und unschädlich gemacht wurde.[23]

In einem Artikel der ZEIT vom 26. November 2010 vermutet Sandro Gaycken, dass auf Grund der hohen Verbreitung des Wurms (unter anderem in Deutschland und China) und des hohen Aufwands der Verbreitung (hauptsächlicher Weg ist die gezielte Einbringung über einen USB-Datenträger) die Ziele des Wurms über die Schädigung der iranischen Anlagen hinausgehen. Vielmehr geht er davon aus, dass Stuxnet als "ein Test für künftige Sabotageakte in Industrieanlagen", unter anderem auch in "Infrastrukturen wie Strom, Wasser oder Gas", gedacht sein könnte. Als Gründe für diese Vermutung führt er unter anderem an, dass die hohe Verbreitung des Wurms und dessen Fähigkeit zum Kontaktieren des Angreifers die Entdeckungswahrscheinlichkeit des Wurms drastisch erhöht haben. Bei einem gezielten Einsatz zur Störung der iranischen Urananreicherungsanlage wäre es jedoch eher von Vorteil gewesen, lange unentdeckt zu bleiben, um so die Störung möglichst lange aufrechterhalten zu können.[24]

Medienberichten zufolge war möglicherweise die iranische Urananreicherungsanlage in Natanz das Ziel der Attacke.[25][26][27][28][29][30][31] Laut geheimen Dokumenten, die über die Internetplattform WikiLeaks an die Öffentlichkeit gebracht wurden, gab es in Natanz im Jahr 2009 einen nuklearen Störfall, der die Produktionskapazität der Anlage um 15 Prozent reduzierte.[32] Es wird angenommen, dass die Zentrifugen der Anlage durch WinCC-Systeme gesteuert werden.[26]

Ende November 2010 gestand Irans Präsident Mahmud Ahmadinedschad ein, dass der Wurm Probleme mit den Uranzentrifugen verursacht hatte. Stuxnet hatte die Geschwindigkeit der Zentrifugen manipuliert, die sehr genau bei 1064 Umdrehungen pro Sekunde liegen muss. Hierdurch wurden diese beschädigt. Gleichzeitig verschleierte Stuxnet dieses. Dieses und die genauen Kenntnisse der Anlage sprächen für die Urheberschaft westlicher Geheimdienste, so das Institute for Science and International Security (ISIS).[1]

Die israelische Tageszeitung Haaretz berichtete am 14. Februar 2011 von einem Video, in dem sich der israelische Generalstabschef der IDF Gabi Ashkenazi brüstet, neben den israelischen Angriffen auf einen syrischen Atomreaktor auch für die erfolgreiche Stuxnet-Attacke verantwortlich gewesen zu sein.[33][34]

Nachfolger Duqu

Im Oktober 2011 berichtet Symantec, dass ein Virus aufgetaucht ist, der teilweise ähnliche Eigenschaften wie Stuxnet besitzt.[35] Symantec taufte diesen Duqu. Nach Einschätzung von Symantec wurde Duqu entweder von denselben Autoren entwickelt, oder die Autoren hatten Zugriff auf den Quellcode von Stuxnet. Duqu besitzt vor allem Spionageeigenschaften. Symantec vermutet, dass hiermit Informationen gesammelt werden sollen, um zukünftige Angriffe vorzubereiten.[36]

Weblinks

Anmerkungen

Technische Beschreibungen

Das W32.Stuxnet Dossier von Nicolas Falliere, Liam O Murchu und Eric Chien wurde bei Symantec bisher in folgenden Versionen veröffentlicht:

  • Version 1.0 am 30. September 2010
  • Version 1.1 am 12. Oktober 2010
  • Version 1.2 am 3. November 2010
  • Version 1.3 am 12. November 2010
  • Version 1.4 am 11. Februar 2011
  1. a b c W32.Stuxnet Dossier, Kapitel Timeline
  2. a b c d e f W32.Stuxnet Dossier, Kapitel Modifying PLCs
  3. a b W32.Stuxnet Dossier, Kapitel Infection Statistic
  4. W32.Stuxnet Dossier, Kapitel Executive Summary
  5. a b c W32.Stuxnet Dossier, Kapitel Attack Scenario
  6. a b c W32.Stuxnet Dossier, Kapitel Installation
  7. Costin Raiu: Stuxnet and stolen certificates. In: Securelist. Kaspersky Lab, 20. Juli 2010, abgerufen am 14. Oktober 2010 (englisch).
  8. W32.Stuxnet Dossier, Kapitel Summary
  9. Industrie Notebook SIMATIC Field PG. Siemens AG, abgerufen am 9. November 2010.
  10. Fotos aus dem KKW Buschehr:
    • Mohammad Kheirkhah: Bushehr Nuclear Power Plant in Iran. UPI-Photo, 25. Februar 2009, abgerufen am 14. November 2010 (Das Foto veranschaulicht, wie ein Field-PG (der Laptop im Vordergrund) prinzipiell an eine Steuerungsanlage angeschlossen wird. Ein Zusammenhang mit dem Artikel Stuxnet ist rein zufällig.): „Russian technicians work at Bushehr nuclear power plant in the Bushehr Port on the Persian Gulf, 1,000 kms south of Tehran, Iran on February 25, 2009. Iranian officials said the long-awaited project was expected to become operational last fall but its construction was plagued by several setbacks, including difficulties in procuring its remaining equipment and the necessary uranium fuel.“
    • Mohammad Kheirkhah: Iran's Bushehr nuclear power plant in Bushehr Port. UPI-Photo, 25. Februar 2009, abgerufen am 4. Juli 3022 (Es handelt sich um die Fehlermeldung „WinCC Runtime License: Your software license has expired! Please obtain a valid license.“ Ein Zusammenhang mit dem Artikel Stuxnet ist rein zufällig.): „An error is seen on a computer screen of Bushehr nuclear power plant's map in the Bushehr Port on the Persian Gulf, 1,000 kms south of Tehran, Iran on February 25, 2009...“
  11. W32.Stuxnet Dossier, Kapitel Stuxnet Architecture
  12. Liam O. Murchu: Stuxnet Before the .lnk File Vulnerability. In: symantec.connect. Symantec Corporation, 24. September 2010, abgerufen am 10. November 2010 (englisch).
  13. Windows Kernel-Mode Drivers Could Allow Elevation of Privilege. Microsoft Security Bulletin MS10-073, 12. Oktober 2010, abgerufen am 18. November 2010 (englisch).
  14. Das Dossier nennt in Injection Technique Kaspersky KAV, McAfee, Avira AntiVir, BitDefender, eTrust, F-Secure, zwei Symantec-Produkte, ESET, PC-Cillin von Trend Micro, sowie lsass.exe, winlogon.exe und Svchost.exe.
  15. Im W32.Stuxnet Dossier wird in Installation aufgezählt:
    • oem7a.pnf das eigentliche Schadprogramm (main payload)
    • %SystemDrive%\inf\mdmeric3.PNF (data file)
    • %SystemDrive%\inf\mdmcpq3.PNF (configuration data)
    • %SystemDrive%\inf\oem6C.PNF (log file)
  16. a b c d e W32.Stuxnet Dossier, Kapitel Stuxnet Propagation Methods
  17. * CVE-2010-2729: Microsoft Windows Print Spooler Service Remote Code Execution Vulnerability. Symantec Connect, 27. September 2010, abgerufen am 19. November 2010.
  18. * CVE-2008-4250: Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability. Symantec Connect, 9. Februar 2009, abgerufen am 19. November 2010.
  19. * CVE-2010-2568: Microsoft Windows Shortcut 'LNK/PIF' Files Automatic File Execution Vulnerability. Symantec Connect, 11. August 2010, abgerufen am 19. November 2010.
  20. Das Dossier listet in Windows Rootkit Functionality u.a. folgende Dateien:
    • %DriveLetter%\~WTR4132.tmp (Stuxnets Haupt-DLL, ca. 500kB)
    • %DriveLetter%\~WTR4141.tmp (Ladeprogramm für ~WTR4132.tmp, ca. 25kB)
    • %DriveLetter%\Copy of Shortcut to.lnk
    • %DriveLetter%\Copy of Copy of Shortcut to.lnk
    • %DriveLetter%\Copy of Copy of Copy of Shortcut to.lnk
    • %DriveLetter%\Copy of Copy of Copy of Copy of Shortcut to.lnk
  21. Engineering System. Siemens AG, 2910, abgerufen am 20. November 2010.
  22. S7-300 CPUs. Siemens AG, 24. Juni 2009, abgerufen am 1. Dezember 2010.
  23. S7-400 CPUs. Siemens AG, abgerufen am 1. Dezember 2010.
  24. Stuxnet: A Breakthrough. Symantec Connect, 12. November 2010, abgerufen am 1. Dezember 2010 (englisch).
  25. vgl. dazu Ident Numbers: What They Are, And How To Get One. PROFIBUS & PROFINET International, abgerufen am 1. Dezember 2010.
  26. W32.Stuxnet Dossier, Kapitel Command and Control
  27. W32.Stuxnet Dossier, Kapitel Windows Rootkit Functionality

Einzelnachweise

  1. a b Spiegel Online, 26. Dezember 2010: Angriff auf Irans Atomprogramm - Stuxnet könnte tausend Uran-Zentrifugen zerstört haben
  2. nytimes.com vom 25. Februar 2011 Iran Reports a Major Setback at a Nuclear Power Plant
  3. a b Paul Anton Krüger, et al.: Der Wurm und der Luftballon. In: Süddeutsche Zeitung. 2. Oktober 2010.
  4. vgl. Artikel en:Virus Bulletin
  5. vgl. en:Vacon und Vacon is a leading supplier of variable speed AC drives. Vacon Plc, abgerufen am 1. Dezember 2010 (englisch).
  6. Internetauftritt. FararoPaya, abgerufen am 1. Dezember 2010 (englisch).
  7. vgl. Artikel en:Zlob trojan
  8. Robert McMillan: Siemens: Stuxnet worm hit industrial systems. In: Computerworld. 14. September 2010, abgerufen am 16. September 2010 (englisch).
  9. Iran bestätigt Cyber-Angriff durch Stuxnet. In: Heise online. 9. Dezember 2010, abgerufen am 26. September 2010.
  10. Iran wirft Westen Cyber-Propaganda vor. Spiegel Online, 28. September 2010, abgerufen am 9. Dezember 2010.
  11. a b Stuxnet Attacken in China. In: Kurier.at. 1. Oktober 2010, abgerufen am 9. Dezember 2010.
  12. a b Gefährliches Schadprogramm: Computer-Virus Stuxnet trifft deutsche Industrie. In: sueddeutsche.de. 2. Oktober 2010, abgerufen am 18. Oktober 2010.
  13. SIMATIC WinCC / SIMATIC PCS 7: Information bezüglich Malware / Virus / Trojaner. Siemens AG, 1. April 2011, abgerufen am 4. Juli 2011 (Siemens Stuxnet Support, Beitrags-ID:43876783).
  14. http://www.wired.com/threatlevel/2011/07/how-digital-detectives-deciphered-stuxnet/all/1
  15. Johannes Kuhn: Stuxnet-Sabotagevirus - "Die Büchse der Pandora ist geöffnet". In: sueddeutsche.de. 1. Oktober 2010, abgerufen am 14. Oktober 2010.
  16. Andreas Hirstein: «Hier war ein Expertenteam am Werk» - Stuxnet, ein gefährlicher Computerwurm. NZZ, 26. September 2010, abgerufen am 15. Oktober 2010.
  17. Der „Hack des Jahrhunderts“. "Stuxnet"-Virus legt Iran lahm. In: ORF.at. Österreichischer Rundfunk, 26. September 2010, abgerufen am 30. September 2010.
  18. Frank Rieger: Trojaner „stuxnet“ – Der digitale Erstschlag ist erfolgt. In: FAZ.NET. 22. September 2010, abgerufen am 30. September 2010.
  19. a b c Ethan Bronner & William J. Broad: In a Computer Worm, a Possible Biblical Clue. In: NYTimes. 29. September 2010, abgerufen am 2. Oktober 2010 (englisch).
  20. John Markoff, Kevin O'Brien: A Silent Attack, but Not a Subtle One. In: New York Times online. 30. September 2010, abgerufen am 15. Oktober 2010 (englisch).
  21. John Markoff, Kevin O'Brien: A Silent Attack, but Not a Subtle One. 30. September 2010, abgerufen am 15. Oktober 2010 (englisch).
  22. a b William J. Broad, John Markoff, David E. Sanger: Israel Tests on Worm Called Crucial in Iran Nuclear Delay. In: New York Times online. 15. Januar 2011, abgerufen am 16. Januar 2011 (englisch).
  23. SF/HRF/MB: Stuxnet, US-Israeli bid against Iran. In: Press TV. 16. Januar 2011, abgerufen am 16. Januar 2011 (englisch).
  24. Sandro Gaycken: Wer war’s? Und wozu? Die Zeit, 26. November 2010, abgerufen am 19. Januar 2011.
  25. Adnan Vatandas: Stuxnet: Eine kurze Geschichte. Wordpress, 29. September 2010, abgerufen am 10. Dezember 2010.
  26. a b Mark Clayton: Stuxnet worm mystery: What's the cyber weapon after? Yahoo News, 25. Februar 2009, abgerufen am 28. September 2010 (englisch).
  27. The Stuxnet worm: A cyber-missile aimed at Iran? The Economist, 24. September 2010, abgerufen am 28. September 2010 (englisch).
  28. Iran Confirms Stuxnet Damage to Nuclear Facilities. Tikun Olam, 25. September 2010, abgerufen am 28. September 2010 (englisch).
  29. Blake Hounshell: 6 mysteries about Stuxnet. In: Blog.foreignpolicy.com. 27. September 2010, abgerufen am 18. Oktober 2010 (englisch).
  30. Paul Woodward: Iran confirms Stuxnet found at Bushehr nuclear power plant. Warincontext.org, 26. September 2010, abgerufen am 28. September 2010 (englisch).
  31. Computerwurm Stuxnet. FAZ.net, 18. November 2010, abgerufen am 19. November 2010.
  32. Serious nuclear accident may lay behind Iranian nuke chief's mystery resignation. Abgerufen am 3. Oktober 2010. (Link nicht mehr abrufbar)
  33. Haaretz, 14. Januar 2011: [1]
  34. Richard Silverstein: Ashkenazi Video Admits IDF Bombed Syrian Nuclear Reactor and Created Stuxnet vom 14. Februar 2011
  35. W32.Duqu - The precursor to the next Stuxnet
  36. Virus Duqu alarmiert IT-Sicherheitsexperten. In: Zeit Online. 19. Oktober 2011, abgerufen am 19. Oktober 2011.

Wikimedia Foundation.

Игры ⚽ Поможем сделать НИР

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Stuxnet — is a computer worm discovered in June 2010. It targets Siemens industrial software and equipment running Microsoft Windows.[1] While it is not the first time that hackers have targeted industrial systems,[2] it is the first discovered malware… …   Wikipedia

  • Stuxnet — es un gusano informático que afecta a equipos con Windows, descubierto en junio de 2010 por VirusBlokAda, una empresa de seguridad radicada en Bielorrusia. Es el primer gusano conocido que espía y reprograma sistemas industriales,[1] en concreto… …   Wikipedia Español

  • Stuxnet — est un ver informatique spécifique au système Microsoft Windows initialement découvert en juin 2010 par VirusBlokAda, une société de sécurité informatique basée en Biélorussie. La complexité du ver est très inhabituelle pour un malware. Il a …   Wikipédia en Français

  • Stuxnet — win32/Stuxnet  компьютерный червь, поражающий компьютеры под управлением операционной системы Microsoft Windows. 17 июня 2010 года его обнаружил антивирусный эксперт Сергей Уласень из белорусской компании «ВирусБлокАда»[1] (в настоящее время …   Википедия

  • Duqu — Symantec Diagram on Duqu Duqu is a computer worm discovered on 1 September 2011, thought to be related to the Stuxnet worm. The Laboratory of Cryptography and System Security (CrySyS)[1] of the Budapest University of Technology and Economics in… …   Wikipedia

  • Cyberwarfare in the People's Republic of China — The nature of Cyberwarfare in the People s Republic of China is difficult to assess. Government officials in India and the United States have traced various attacks on corporate and infrastructure computer systems in their countries to computers… …   Wikipedia

  • WinCC — (Windows Control Center) ist ein PC basiertes Prozessvisualisierungssystem der Firma Siemens. Es wird als eigenständiges SCADA System oder als Mensch Maschine Schnittstelle für Prozessleitsysteme wie SIMATIC PCS7 oder Spectrum PowerCC eingesetzt …   Deutsch Wikipedia

  • Industrial espionage — Teapot with Actresses, Vezzi porcelain factory, Venice, ca. 1725. The Vezzi brothers were involved in a series of incidents of industrial espionage. It was these actions that led to the secret of manufacturing Meissen porcelain becoming widely… …   Wikipedia

  • Idaho National Laboratory — Coordinates: 43°32′00″N 112°56′41″W / 43.533429°N 112.94486°W / 43.533429; 112.94486 …   Wikipedia

  • Duqu — Duqu  компьютерный червь, обнаруженный 1 сентября 2011 года. Некоторые исследователи полагают, что он связан с червем Stuxnet[1]. Червь получил имя Duqu из за префикса « DQ», который использовался во всех именах файлов, создаваемых им[2].… …   Википедия

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”