Stuxnet: Eine kurze Geschichte

Zahlreiche Zeitschriften und Nachrichtenagenturen berichten derzeit von einem als „Stuxnet“ bekannten und als Virus W32.Stuxnet klassifizierten Schadprogramm.

Der Leser erhält schnell den Eindruck, das Programm sei erst seit wenigen Monaten in Umlauf und wüte derzeit im Internet. Tatsächlich ist Stuxnet jedoch schon seit mindestens einem Jahr in freier Wildbahn. Außerdem scheint Stuxnet nur unter ganz bestimmten Bedingungen Schaden anzurichten, die bei den aller meisten Nutzern nicht erfüllt sind.

Im Folgenden eine Geschichte von Stuxnet nach derzeitigem Kenntnisstand, vor deren Lektüre ich das Durchlesen des Wikipedia-Artikels zu Stuxnet empfehle:

Stuxnet wurde offenbar bereits im Sommer 2008 oder früher entwickelt und womöglich auch zu diesem Zeitpunkt zur Verbreitung in die freie Wildbahn ausgesetzt. Am 23. Oktober 2008 schloss Microsoft nämlich eine Lücke in den aktuellen Windows-Betriebssystemen, die unter anderem von dem seinerzeit populären Virus „Conficker“ ausgenutzt wurde. Die Lücke wurde als systemkritisch eingestuft und durch den aktivierten „Windows Update“-Service automatisch durch den bereitgestellten Patch geschlossen. Stuxnet greift unter anderem diese Lücke an.  Es ergeben sich somit zwei Möglichkeiten: Entweder war Stuxnet bereits vor dem 23. Oktober 2008 entwickelt und ausgesetzt, oder die Autoren gingen davon aus daß das beabsichtigte Ziel der Infektion aus irgend einem Grund (z.B. wegen deaktiviertem Windows Update bei fehlerhafter Lizenz) auch nach dem 23. Oktober 2008 über diesen Angriff infizierbar war.

Zwar ist Stuxnet in der Lage, durch mindestens drei weitere bis Mitte September 2010 ungestopfte Lücken in Microsoft Windows Systeme zu infizieren und nicht auf den oben genannten Angriff angewiesen. Stuxnet ist jedoch dermaßen komplex und professionell programmiert, daß Code im Programm, der eine bereits zur Fertigstellung der Schadsoftware geschlossene Lücke vergebens angreift, nicht plausibel erscheint. Schadprogramme sollen außerdem möglichst klein sein um bei der Verbreitung kein Aufsehen zu erregen.

Für Aktivitäten der Schadsoftware bereits im Frühjahr 2009 sprechen neben dieser Annahme auch weitere Indizien. So berichtete die Webseite Wikileaks.org am 17 Juli 2009 von einem gravierenden „Unfall“ in der iranischen Anreicherungsanlage Natanz ca. 2 Wochen zuvor, die nach Einschätzung zahlreicher IT- und Sicherheitsexperten Ziel von Stuxnet war oder ist. In der Tat musste Natanz seit 2008 trotz immer mehr installierten Zentrifugen teils starke Einbrüche in der Urananreicherung verkraften.

Property of ISIS / Eigentum von ISIS

(Property of ISIS / Eigentum von ISIS)

Kurz darauf trat am 19. Juli der Chef der iranischen Atomenergiebehörde ohne Angabe von Gründen nach 12 Jahren Amtszeit zurück. Wie auf der Grafik erkennbar ist, liefen die in Natanz installierten Zentrifugen bis ins Frühjahr 2008 annähernd ausgelastet. Seitdem werden zwar immer mehr Zentrifugen installiert, die Ausbeute schwindet jedoch. Das ISIS-Institut ging daher bereits 2009 von konkreter Sabotage der Anlagen aus. Auch die New York Times schrieb am 2. Januar 2010:

Internationale Nuklearinspektoren berichten von einem Rückgang der Anreicherung im iranischen Natanz, wo tausende Zentrifugen Uran zu Nuklearbrennstoff anreichern, um mehr als 20% seit dem Sommer 2009. Einige europäische Regierungsbeamte glauben, für den Rückgang seien heimliche Bemühungen des Westens zur Untergrabung des iranischen Nuklearprogramms verantwortlich, darunter Sabotage an iranischen Geräten und der nötigen Infrastruktur…

Ein Bericht der Internationalen Atomenergiebehörde IAEA, die regelmäßige Inspektionen in Natanz durchführt, nannte lediglich 3772 einsatzbereite Zentrifugen im Januar 2010, im Gegensatz zu 4756 funktionsfähigen Zentrifugen im Jahr 2008. Außerdem würden 11 komplette Kaskaden, die jeweils aus zahlreichen Zentrifugen bestehen, auseinandergebaut und von den iranischen Spezialisten inspiziert. Offenbar wunderte man sich auch im Iran über plötzlich auftretende Defekte an zahlreichen Zentrifugen und suchte nach dem Grund.

Auch der Start des Reaktors in Bushehr verschob sich um mehr als ein halbes Jahr. Der zuständige Sprecher der iranischen Regierung wollte einen möglichen Zusammenhang zwischen den StuxNet-Infektionen und der Verspätung des Starts nicht kommentieren.

In diesem Zusammenhang interessant erscheint auch ein Artikel aus YNetNews.com vom 7. Juli 2009, der relativ genau zu dem Zeitpunkt erschien, zu dem der Wikileaks-Informant von einem gravierenden „Unfall“ in Natanz berichtete. In dem YNetNews.com-Artikel wird der Sprecher eines US-Think-Tanks zitiert mit den Worten:

Asked to speculate about how Israel might target Iran, Borg said malware — a commonly used abbreviation for „malicious software“ — could be inserted to corrupt, commandeer or crash the controls of sensitive sites like uranium enrichment plants.

[….]

Such attacks could be immediate, he said. Or they might be latent, with the malware loitering unseen and awaiting an external trigger, or pre-set to strike automatically when the infected facility reaches a more critical level of activity

A contaminated USB stick would be enough,“ Borg said.

Nach Erkenntnissen der Sicherheitsfirma VirusBlokAda, die Stuxnet zuerst im Juni 2010 entdeckte, und Analysen der Firma Symantec wurde Stuxnet primär durch passive Übertragung mittels portablen Speichermedien, also höchstwahrscheinlich USB-Sticks, in infrastrukturrelevante Systeme eingeschleust, die in aller Regel vom Internet abgetrennt sind um Infektionen aus dem Netz zu vermeiden.

Im Juli 2010 offenbarte sich nach ersten Analysen des Schadprogramms die mittlerweile gepatchte LNK-Lücke, die eine Infektion des Hosts bei bloßem Öffnen eines Verzeichnisses mit präparierten Dateien im Explorer-Fenster ermöglichte. Da StuxNet nach Korrektur der Lücke weiterhin Systeme infizierte, wurden im Wochentakt zwei weitere von StuxNet genutzte Zero-Day-Exploits bekannt sowie eine Lücke im Drucker-Spooler-Dienst, die bereits vor 3 Jahren in einer technischen Abhandlung beschrieben, aber seitdem in Vergessenheit geraten und nicht gepatcht worden war.

Aus dem Iran, der nach Ansicht zahlreicher Experten das Ziel des Angriffs gewesen zu sein scheint, wurden zunächst Erfolgsmeldungen verlautbart. Es hieß, man habe StuxNet unter Kontrolle und würde innerhalb weniger Wochen die Schadsoftware von sämtlichen relevanten Systemen entfernt haben. Mittlerweile sucht der Iran nach internationalen Experten, die bei den Aufräumarbeiten nach dem Desaster helfen könnten. Aus den Pressemeldungen geht zumindest teilweise hervor, daß eben nicht nur Computer des Personals, sondern auch die Mess-, Steuer- und Regelsysteme der verschiedensten Industrieanlagen von StuxNets Sabotageattacken auf die dort installierten SCADA-Systeme von SIEMENS betroffen sind. Die offizielle iranische Nachrichtenagentur IRNA sprach von einem „sich in immer neuen Versionen verbreitenden Virus„, von dessen Befall die „wichtigen Zentren und Organisationen Irans“ befreit werden müssten.

Falls derartige Pressemitteilungen nicht als bloße PR-Maßnahme gedacht sind könnte man schnell den Eindruck erhalten, das Ausmaß des Problems würde im Iran unterschätzt und auf die leichte Schulter genommen. Es ist zu erwarten, daß StuxNet die Infektion der PLC-Chips der Steueranlagen mindestens so gut verschleiert wie die Infektion der PC-Betriebssysteme, die für StuxNet offenbar nur ein Durchgangsmedium sind um an die PLC-Chips zu gelangen. Außerdem ist StuxNet in der Lage, sich durch Peer-to-Peer-Kommunikation mit anderen StuxNet-Instanzen zu aktualisieren. Somit könnten StuxNet bei bestehender Infektion stetig neue und unbekannte Schadmethoden beigebracht werden.

Daß sich zu den bereits fünf durch StuxNet bekannt gewordenen Sicherheitslücken noch weitere bis dato unbekannte Softwarefehler hinzugesellen werden, ist nicht unwahrscheinlich.

Zu hoffen bleibt, daß eine möglicherweise versteckt weiterbestehende Infektion der Steueranlagen mit StuxNet-Schadcode sich nicht in einer nuklearen Katastrophe äußern wird.

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: