Stuxnet - ein Trojaner auf staatlicher Sabotage-Mission?

von Jan Spoenle, veröffentlicht am 30.09.2010

IT-Spezialisten und die Community der digitalen Kriminalistik kennen seit Tagen nur noch ein Thema: Stuxnet, der Trojaner, der es sogar bis in die Tagesthemen geschafft hat. Das hat seinen guten Grund, den ich bereits vorgestern in einem anderen Blog versucht habe zu erklären – daher findet sich der Eintrag mit aktuellen Updates hier nun auch.

Ein Trojaner, den IT-Sicherheitsexperten seit Wochen auseinandernehmen und zu verstehen versuchen, der gezielt die Steuerung von Industrieanlagen ins Visier nimmt und – angeblich wie beabsichtigt – zu Problemen innerhalb des iranischen Atomprogramms geführt haben soll? Hört sich beinahe so an, als ob die Prophezeiungen vom sogenannten Cyber-Warfare, der digitalen Kriegsführung der Zukunft, die man seit Jahren insbesondere von hohen Militärs wie von Verkäufern entsprechender Technologien und mit zunehmender Frequenz vernehmen kann, tatsächlich zutreffen könnten.

Doch der Reihe nach: Was war passiert? Bereits im Sommer warnte die IT-Sicherheits-Community lautstark und völlig zurecht vor einer neuen Zero-Day-Lücke im Zusammenhang mit LNK-Dateien, einer bislang unbekannten Schwachstelle im Windows-Betriebssystem, mit deren Hilfe sich ein "Stuxnet" getaufter Trojaner über USB-Sticks verbreiten konnte. Darüber hinaus, so weiß man inzwischen, verfügt dieselbe Malware über ein ganzes Arsenal weiterer Angriffsmethoden, zu dem auch über ein Jahr alte Sicherheitslücken gehören. Weitere Analysen ergaben, dass sich der Trojaner auf gewöhnlichen Windows-Rechnern wie dem Familien-PC zuhause zwar einnistet, aber – derzeit – sonst nichts weiter Schädliches unternimmt.

Trifft die Schadsoftware hingegen auf einen Rechner, der zur Steuerung von bestimmten Industrieanlagen verwendet wird, kommt eine offenbar als Spezialanfertigung eingebaute Funktionalität zum Einsatz: Stuxnet kann solche Anlagen mit speicherprogrammierbaren Steuerungen (SPS), die meist auf eine von Siemens entwickelte Steuerungssoftware für Windows namens WinCC setzen und zu denen anscheinend Teile des iranischen Atomprogramms zählen, gezielt manipulieren.

Diese Details, gepaart mit der hohen Professionalität und dem extremen Aufwand, der mit Stuxnet betrieben worden war – etwa soll der Programmcode des Schädlings aus mehreren, gut gegen Reverse Engineering geschützten Codeschichten bestehen –, veranlassten Frank Rieger, Sprecher des Chaos Computer Clubs, in der FAZ über die möglichen Urheber des Trojaners, deren Absichten und die denkbaren Folgen für das digitale Wettrüsten in der Spionageszene zu spekulieren. Seine These: Nur ein Staat mit entsprechendem Interesse an einer Verzögerung bzw. anderweitigen Problemen beim iranischen Atomprogramm konnte die Ressourcen aufbringen, die für diese Schöpfung und ihren Einsatz mittels Agenten, die mit USB-Sticks bewaffnet sind, notwendig waren.

Auch wenn anderswo sogleich leise Zweifel an Riegers Theorie angemeldet wurden, hat der Iran inzwischen zumindest die Infektion einer nicht unerheblichen Zahl von Rechnern auch in Atomkraftwerken mit Stuxnet eingestanden; ernsthafte Schäden sollen dadurch jedoch nicht verursacht worden sein. Ob die Autoren von Stuxnet nun erfolgreich waren oder nicht, so zeichnet sich doch zumindest die Erkenntnis ab, dass in punkto Cyber-Warfare nicht mehr nur gewarnt und geworben wird – eine Beobachtung, die deutlich beunruhigender wirkt, als alle bekannten Details über die organisierten digitalen Bankräuber, mit denen die IT-Sicherheitsbranche sonst zu tun hat.

[Original vom 28.09.10]

 

Update: Inzwischen haben sich bei dem heiß diskutierten, aber naturgemäß vagen Thema der Urheberschaft und potentieller Absichten und Erfolge neue Ansätze ergeben. So berichtet die Tagesschau, dass auch Teile der für den Iran immens wichtigen Ölindustrie von Stuxnet betroffen seien. In einem Blog des Forbes Magazine wird außerdem berichtet, dass ein indischer Satellit aufgrund der Infektion mit Stuxnet ausgefallen sei, weswegen geschätzte 70 Prozent der Kundschaft auf TV- und Datendienste verzichten mussten. Der Autor zieht einen Schluss, der auch von einem neuen Heise-Artikel aufgeworfen wird: Steckt evt. gar kein westlicher Geheimdienst hinter Stuxnet, sondern China, das in entsprechenden Kreisen schon seit längerem als Cyber-Großmacht tituliert wird? Das Rätselraten in diesem digitalen Sabotage-Thriller dürfte noch lange nicht beendet sein – zumal der zugrunde liegende Programmcode noch gar nicht vollständig analysiert werden konnte.

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

5 Kommentare

Kommentare als Feed abonnieren

was oft unterzugehen scheint ist, dass es offensichtlich zwei Versionen von stuxnet gibt:

stuxnet1: "Der Trojaner war so programmiert, dass er eigentlich im Januar 2009 aufhören sollte, sich weiter zu verbreiten. Offenbar durch Computer, auf denen das Datum nicht korrekt gesetzt ist - ein durchaus häufiges Vorgehen, um das Auslaufen von zeitgebundenen Software-Lizenzen zu umgehen -, verbreitete er sich trotzdem immer weiter, bis er schließlich entdeckt wurde." (Rieger, FAZ) und der Mitte 2009 die Anreicherungsanlage in Natans sabotiert hat unter Nutzung präparierter autorun.inf-Dateien.(http://www.heise.de/newsticker/meldung/Stuxnet-Wurm-weitere-Tricks-im-Cyberwar-1098197.html). Nahm Kontakt zu einem mittlerweile abgeschalteten Server auf.

stuxnet2: nutzt seit März 2010 den Zero-Day-Exploit der  .lnk-Dateien und ist in der Lage, ein bereits desinfiziertes Windows-System erneut zu befallen. (heise/Symantec) Keine Kontaktversuche bisher bekannt.

0

Lustig dass niemand darüber stolpert dass der Iran Anlagen von SIEMENS benutzt.

Abgesehen davon: Glück gehabt. Der Virus legt die Anlage nur lahm, führt aber keinen Schaden herbei.

 

0

Dass im Iran hier und da Siemens-Technik zum Einsatz kommt, ist inzwischen eine Art offenes Geheimnis – siehe etwa hier. Im Übrigen wurde der Bau des ersten Atomkraftwerks im Iran 1979 sogar noch offiziell von Siemens begonnen, mit dem irakisch-iranischen Krieg aber eingestellt. Offenbar hat sich die Vorliebe für deutsche Ingenieurskunst gehalten ...

Der Bau von Buschehr begann nach IAEA-Angaben bereits 1975 ... und wenn die Steuer- und Regeltechnik schon vor Ort fertig gebaut ist, warum soll man teuer umdisponieren?

Aus der Schah-Zeit besitzt der Iran übrigens auch die nunmehr einzigen verbliebenen einsatzfähigen F-14 "Tomcat" aus US-Produktion (die eigentlichen Filmstars aus "Top Gun"), weshalb es dem Irak trotz mehrfacher zahlenmäßiger Übermacht nicht gelang, im ersten Golfkrieg die Luftüberlegenheit zu erreichen - vermutlich ein kriegsentscheidender Umstand Mitte der 1980er Jahre.

Versucht sich China gerade am Spurenverwischen? Wer weiß... 

0

RA Dr. Koch

Die Bedrohung betrifft wohl nicht nur einzelne Industrieanlagen mit politisch sensiblen Anwendungen, sondern viele Unternehmen, auch in den USA und in Großbritannien. Das Risiko ist also relativ breit gestreut und kann sich schnell ausweiten, wenn, wie befürchtet wird, der Stuxnet-Code kopiert und verändert wird. Befürchtet wird schon, dass der Wurm in Toolkits zugänglich gemacht wird [1]. Man stelle sich vor, dass ein im Wettbewerb unterlegenes Unternehmen zum Konkurrenzunternehmen oder dessen Kunden eine Peer-to-peer-Verbindung herstellt und die Installationen sabotiert oder Konstruktions-Kno-how ausforscht... 

Für CIOs erweitert sich hier das Aufgabenfeld und das Haftungsrisiko. Compliance-Pflichten verlangen, diese konkreten Gefahren zu untersuchen und die erforderlichen Abwehrmaßnahmen schnell zu treffen und dies zu dokumentieren.  

[1] www.dradio.de/dlf/sendungen/computer/1286988/]

 

Kommentar hinzufügen