Stuxnet: Ursprung und erste Opfer

Die ersten Opfer von Stuxnet wurden von den Angreifern genau ausgewählt, so dass Angriffe auf das Uran in Natans möglich wurden.

Der Stuxnet-Wurm hat in den letzten Jahren zahlreiche Schlagzeilen gemacht und Sicherheits-Experten zum Schwitzen gebracht. Noch immer ist nicht bekannt, wer den Schädling entwickelt hat, und warum er entwickelt worden ist. Gerüchten zufolge wollten amerikanische und israelische Geheimdienste ihn verwenden, um das iranische Atomprogramm zu sabotieren. Das klingt plausibel: Das Schadprogramm zerstörte tatsächlich die Uranium-Anreichungszentrifugen in Natans und warf das iranische Atomprogramm damit um Jahre zurück.

Die Stuxnet-Entwickler hatten Erfolg damit, nicht-verbundene und geschützte Maschinen anzugreifen und Sabotageakte in großem Stil durchzuführen. Doch wie Sicherheits-Experten berichten, verlor der Wurm dann die Kontrolle und verbreitete sich selbst aktiv, allerdings ohne Schaden auf Anwender- und Firmen-PCs anzurichten, da er ja ursprünglich spezielle Industriesysteme angreifen sollte.

Erste Opfer, oder: „Patient Zero“

Die amerikanische Journalistin Kim Zetter veröffentlichte am 11. November ihr Buch Countdown to Zero Day. Das nehmen wir zum Anlass, einige Fakten aus dem Buch über Stuxnet zu bringen, die nicht so bekannt sind. Wir wollen dabei nicht zu lange auf die ersten Tage des Wurms eingehen, sondern uns auf sein späteres Treiben konzentrieren, das eine Menge Infizierungsfälle in den Jahren 2009 bis 2010 zur Folge hatte.

Was passierte, war leicht nachzuvollziehen, da der Schädling interessanterweise den Verlauf infizierter Computer in seinem Code speichert, inklusive Name, Domain-Name und IP-Adresse. Da diese Daten laufend aktualisiert werden, konnten wir seinen Ursprung nachverfolgen.

Die Forscher von Symantec, die im Februar 2011 das „W32.Stuxnet Dossier“ veröffentlichten, stellten fest, dass die Verteilung von Stuxnet mit fünf Organisationen startete (von denen zwei sogar zweimal angegriffen worden sind – 2009 und 2010), deren Namen damals nicht veröffentlicht wurden. Um sie zu identifizieren, haben wir zwei Jahre geforscht und über 2.000 Dateien analysiert.

„Domain A“

Die erste namhafte Variante von Stuxnet 2009 (auch Stuxnet.a genannt) wurde am 22. Juni 2009 erstellt. Innerhalb weniger Stunden nach der Kompilierung, infizierte das Schadprogramm einen „ISIE“-gehosteten PC. Es ist unwahrscheinlich, dass die Täter einen abnehmbaren Datenträger verwendeten – und es ist höchst unwahrscheinlich, dass er in so kurzer Zeit innerhalb der Organisation ausgeliefert hätte werden können.

Was passierte, war leicht nachzuvollziehen, da der Schädling den Verlauf infizierter Computer in seinem Code speichert, inklusive Name, Domain-Name und IP-Adresse.

Wir konnten mit so wenigen Daten nicht feststellen, welche Organisation infiziert worden war. Aber wir waren uns ziemlich sicher, dass es sich um die Foolad Technic Engineering Co (FIECO) handelte, einen iranischen Produzenten von Automatisierungssystemen für die Schwerindustrie.

Neben der Fähigkeit, die Rotoren der Zentrifuge zu beeinflussen, enthielt Stuxnet ein Spyware-Modul und FIECO war ein gutes Ziel für die Täter. Wahrscheinlich sahen sie die Firma als Abkürzung zu ihrem eigentlichen Ziel sowie als interessante Quelle zum Sammeln von Daten über die iranische Atomindustrie – im Jahr 2010 wurde das Unternehmen erneut angegriffen, diesmal von der dritten Generation von Stuxnet.

„Domain B“

Der nächste „Patient“ wurde dreimal angegriffen: Im Juni 2009 sowie im März und Mai 2010. Es war der zweite Angriffe, der die globale Stuxnet-2010-Epidemie (Stuxnet.b) startete. Die Domain „behpajooh“ ermöglicht es, das Opfer zu identifizieren: Behpajooh Co. Elec & Comp. Engineering. Die Firma hat ebenfalls mit Industrieautomation zu tun und ist mit vielen anderen Unternehmen verbunden.

Stuxnet 2Im Jahr 2006 berichtete die dubaier Zeitung Khaleej Times, dass eine Firma des Landes an der illegalen Lieferung von Atombombenkomponenten an Iran beteiligt sei – die Lieferungen gingen laut Zeitung an die „Bejpajooh INC“ in Isfakhana.

Am 24. April 2010 sprang Stuxnet von Behpajooh zur MSCCO-Domain. Der wahrscheinlichste Kandidat ist die größte metallurgische Einrichtung Irans, die Mobarakeh Steel Company (MSC). Dort sind viele PCs im Einsatz und sie steht mit zahlreichen Firmen weltweit in Kontakt. Mit solchen Verbindungen in seinem Arsenal, konnte Stuxnet eine globale Epidemie starten: Im Sommer 2010 erreichte der Wurm Firmen in Russland und Weißrussland.

„Domains C, D und E“

Am 7. Juli 2009 infizierte Stuxnet den „applserver“-PC der NEDA-Domain. In diesem Fall hatten wir kein Problem, das Opfer zu identifizieren: Die Neda Industrial Group. Ab 2008 hatte die Firma mit dem amerikanischen Ministry of Justice zu tun und ihr wird vorgeworfen, illegal verbotene Substanzen nach Iran exportiert zu haben.

Neben Neda wurde eine weitere Organisation in der „CGJ“-Domain infiziert. Nach genauer Analyse fanden wir heraus, dass es sich erneut um eine iranische Firma handelte, die im Bereich der Industrieautomation tätig ist: Control-Gostar Jahed Company. Dort wurde die Verteilung des Schadprogramms unterbrochen, unabhängig davon, wie viele Verbindungen die Firma hatte.

Der letzte „Patient Zero“ ist für eine große Zahl kompromittierter Computer bekannt: Am 11. Mai 2010 kam Stuxnet auf drei Computer der „KALA“-Domain. Wahrscheinlich handelte es sich um Kala Electric, auch bekannt als Kalaye Electric Co. Die Firma gilt als Hauptentwickler der IR-1-Anreicherungszentrifugen für Uran und eine der Hauptstützen des iranischen Atomprogramms. Komisch, dass sie nicht früher angegriffen wurde.

Epilog

Trotz einem so anspruchsvollen Schadvektor (es ist nicht gerade einfach, Anreicherungszentrifugen zu beschädigen), wurde Stuxnet recht primitiv verteilt. Zudem gab es einen Moment, in dem das Ganze einfach außer Kontrolle geriet. Anders kann das Ausmaß der Epidemie nicht erklärt werden, die den Wurm so weit von seinen eigentlichen Zielen verteilte.

Doch auch wenn man alle Nachteile bedenkt, stellte sich das Schadprogramm als sehr produktiv heraus: Seine Hintermänner waren erfolgreich bei der weltgrößten Cyberattacke und haben damit eine neue Ära von Cyberwaffen und IT-Sicherheit eingeläutet.

Vor Stuxnet dachte niemand an den proaktiven Schutz von Industrieanlagen: Jeder glaubte, es reiche aus, die Anlagen von den globalen Netzwerken zu isolieren. Doch indem sie nicht-verbundene Maschinen erfolgreich angriffen, zeigten die Täter, dass dies nicht ausreicht. Stuxnet kann daher in seiner Wichtigkeit mit dem so genannten Great Worm oder Morris-Wurm verglichen werden, der im Jahr 1988 entwickelt wurde.

Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.