{"id":4463,"date":"2014-11-18T10:16:44","date_gmt":"2014-11-18T10:16:44","guid":{"rendered":"http:\/\/kasperskydaily.com\/germany\/?p=4463"},"modified":"2019-11-22T12:39:28","modified_gmt":"2019-11-22T10:39:28","slug":"stuxnet-ursprung-und-erste-opfer","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/stuxnet-ursprung-und-erste-opfer\/4463\/","title":{"rendered":"Stuxnet: Ursprung und erste Opfer"},"content":{"rendered":"<p>Der Stuxnet-Wurm hat in den letzten Jahren zahlreiche Schlagzeilen gemacht und Sicherheits-Experten zum Schwitzen gebracht. Noch immer ist nicht bekannt, wer den Sch\u00e4dling entwickelt hat, und warum er entwickelt worden ist. Ger\u00fcchten zufolge wollten amerikanische und israelische Geheimdienste ihn verwenden, um das iranische Atomprogramm zu sabotieren. Das klingt plausibel: Das Schadprogramm zerst\u00f6rte tats\u00e4chlich die Uranium-Anreichungszentrifugen in Natans und warf das iranische Atomprogramm damit um Jahre zur\u00fcck.<\/p>\n<p>Die Stuxnet-Entwickler hatten Erfolg damit, nicht-verbundene und gesch\u00fctzte Maschinen anzugreifen und Sabotageakte in gro\u00dfem Stil durchzuf\u00fchren. Doch wie Sicherheits-Experten berichten, verlor der Wurm dann die Kontrolle und verbreitete sich selbst aktiv, allerdings ohne Schaden auf Anwender- und Firmen-PCs anzurichten, da er ja urspr\u00fcnglich spezielle Industriesysteme angreifen sollte.<\/p>\n<h3>Erste Opfer, oder: \u201ePatient Zero\u201c<\/h3>\n<p>Die amerikanische Journalistin Kim Zetter ver\u00f6ffentlichte am 11. November ihr Buch Countdown to Zero Day. Das nehmen wir zum Anlass, einige Fakten aus dem Buch \u00fcber Stuxnet zu bringen, die nicht so bekannt sind. Wir wollen dabei nicht zu lange auf die ersten Tage des Wurms eingehen, sondern uns auf sein sp\u00e4teres Treiben konzentrieren, das eine Menge Infizierungsf\u00e4lle in den Jahren 2009 bis 2010 zur Folge hatte.<\/p>\n<p>Was passierte, war leicht nachzuvollziehen, da der Sch\u00e4dling interessanterweise den Verlauf infizierter Computer in seinem Code speichert, inklusive Name, Domain-Name und IP-Adresse. Da diese Daten laufend aktualisiert werden, konnten wir seinen Ursprung nachverfolgen.<\/p>\n<p>Die Forscher von Symantec, die im Februar 2011 das \u201eW32.Stuxnet Dossier\u201c ver\u00f6ffentlichten, stellten fest, dass die Verteilung von Stuxnet mit f\u00fcnf Organisationen startete (von denen zwei sogar zweimal angegriffen worden sind \u2013 2009 und 2010), deren Namen damals nicht ver\u00f6ffentlicht wurden. Um sie zu identifizieren, haben wir zwei Jahre geforscht und \u00fcber 2.000 Dateien analysiert.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\"><a href=\"https:\/\/twitter.com\/hashtag\/Stuxnet?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Stuxnet<\/a> Zero Victims<br>The identity of the companies targeted by the first known cyber-weapon <a href=\"https:\/\/t.co\/W8PVyGp7b3\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/W8PVyGp7b3<\/a> <a href=\"http:\/\/t.co\/BWDkVqWPLq\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/BWDkVqWPLq<\/a><\/p>\n<p>\u2014 Dmitry Bestuzhev (@dimitribest) <a href=\"https:\/\/twitter.com\/dimitribest\/status\/532173450925072384?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">November 11, 2014<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<h3>\u201eDomain A\u201c<\/h3>\n<p>Die erste namhafte Variante von Stuxnet 2009 (auch Stuxnet.a genannt) wurde am 22. Juni 2009 erstellt. Innerhalb weniger Stunden nach der Kompilierung, infizierte das Schadprogramm einen \u201eISIE\u201c-gehosteten PC. Es ist unwahrscheinlich, dass die T\u00e4ter einen abnehmbaren Datentr\u00e4ger verwendeten \u2013 und es ist h\u00f6chst unwahrscheinlich, dass er in so kurzer Zeit innerhalb der Organisation ausgeliefert h\u00e4tte werden k\u00f6nnen.<\/p>\n<div class=\"pullquote\">Was passierte, war leicht nachzuvollziehen, da der Sch\u00e4dling den Verlauf infizierter Computer in seinem Code speichert, inklusive Name, Domain-Name und IP-Adresse.<\/div>\n<p>Wir konnten mit so wenigen Daten nicht feststellen, welche Organisation infiziert worden war. Aber wir waren uns ziemlich sicher, dass es sich um die Foolad Technic Engineering Co (FIECO) handelte, einen iranischen Produzenten von Automatisierungssystemen f\u00fcr die Schwerindustrie.<\/p>\n<p>Neben der F\u00e4higkeit, die Rotoren der Zentrifuge zu beeinflussen, enthielt Stuxnet ein Spyware-Modul und FIECO war ein gutes Ziel f\u00fcr die T\u00e4ter. Wahrscheinlich sahen sie die Firma als Abk\u00fcrzung zu ihrem eigentlichen Ziel sowie als interessante Quelle zum Sammeln von Daten \u00fcber die iranische Atomindustrie \u2013 im Jahr 2010 wurde das Unternehmen erneut angegriffen, diesmal von der dritten Generation von Stuxnet.<\/p>\n<h3>\u201eDomain B\u201c<\/h3>\n<p>Der n\u00e4chste \u201ePatient\u201c wurde dreimal angegriffen: Im Juni 2009 sowie im M\u00e4rz und Mai 2010. Es war der zweite Angriffe, der die globale Stuxnet-2010-Epidemie (Stuxnet.b) startete. Die Domain \u201ebehpajooh\u201c erm\u00f6glicht es, das Opfer zu identifizieren: Behpajooh Co. Elec &amp; Comp. Engineering. Die Firma hat ebenfalls mit Industrieautomation zu tun und ist mit vielen anderen Unternehmen verbunden.<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2014\/11\/06141908\/Stuxnet-2.png\"><img loading=\"lazy\" decoding=\"async\" class=\"alignright size-full wp-image-4467\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2014\/11\/06141908\/Stuxnet-2.png\" alt=\"Stuxnet 2\" width=\"285\" height=\"300\"><\/a>Im Jahr 2006 berichtete die dubaier Zeitung Khaleej Times, dass eine Firma des Landes an der illegalen Lieferung von Atombombenkomponenten an Iran beteiligt sei \u2013 die Lieferungen gingen laut Zeitung an die \u201eBejpajooh INC\u201c in Isfakhana.<\/p>\n<p>Am 24. April 2010 sprang Stuxnet von Behpajooh zur MSCCO-Domain. Der wahrscheinlichste Kandidat ist die gr\u00f6\u00dfte metallurgische Einrichtung Irans, die Mobarakeh Steel Company (MSC). Dort sind viele PCs im Einsatz und sie steht mit zahlreichen Firmen weltweit in Kontakt. Mit solchen Verbindungen in seinem Arsenal, konnte Stuxnet eine globale Epidemie starten: Im Sommer 2010 erreichte der Wurm Firmen in Russland und Wei\u00dfrussland.<\/p>\n<h3>\u201eDomains C, D und E\u201c<\/h3>\n<p>Am 7. Juli 2009 infizierte Stuxnet den \u201eapplserver\u201c-PC der NEDA-Domain. In diesem Fall hatten wir kein Problem, das Opfer zu identifizieren: Die Neda Industrial Group. Ab 2008 hatte die Firma mit dem amerikanischen Ministry of Justice zu tun und ihr wird vorgeworfen, illegal verbotene Substanzen nach Iran exportiert zu haben.<\/p>\n<p>Neben Neda wurde eine weitere Organisation in der \u201eCGJ\u201c-Domain infiziert. Nach genauer Analyse fanden wir heraus, dass es sich erneut um eine iranische Firma handelte, die im Bereich der Industrieautomation t\u00e4tig ist: Control-Gostar Jahed Company. Dort wurde die Verteilung des Schadprogramms unterbrochen, unabh\u00e4ngig davon, wie viele Verbindungen die Firma hatte.<\/p>\n<p>Der letzte \u201ePatient Zero\u201c ist f\u00fcr eine gro\u00dfe Zahl kompromittierter Computer bekannt: Am 11. Mai 2010 kam Stuxnet auf drei Computer der \u201eKALA\u201c-Domain. Wahrscheinlich handelte es sich um Kala Electric, auch bekannt als Kalaye Electric Co. Die Firma gilt als Hauptentwickler der IR-1-Anreicherungszentrifugen f\u00fcr Uran und eine der Hauptst\u00fctzen des iranischen Atomprogramms. Komisch, dass sie nicht fr\u00fcher angegriffen wurde.<\/p>\n<h3>Epilog<\/h3>\n<p>Trotz einem so anspruchsvollen Schadvektor (es ist nicht gerade einfach, Anreicherungszentrifugen zu besch\u00e4digen), wurde Stuxnet recht primitiv verteilt. Zudem gab es einen Moment, in dem das Ganze einfach au\u00dfer Kontrolle geriet. Anders kann das Ausma\u00df der Epidemie nicht erkl\u00e4rt werden, die den Wurm so weit von seinen eigentlichen Zielen verteilte.<\/p>\n<p>Doch auch wenn man alle Nachteile bedenkt, stellte sich das Schadprogramm als sehr produktiv heraus: Seine Hinterm\u00e4nner waren erfolgreich bei der weltgr\u00f6\u00dften Cyberattacke und haben damit eine neue \u00c4ra von Cyberwaffen und IT-Sicherheit eingel\u00e4utet.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>Vor #Stuxnet dachte niemand an den proaktiven Schutz von Industrieanlagen.<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2Fz4LL&amp;text=Vor+%23Stuxnet+dachte+niemand+an+den+proaktiven+Schutz+von+Industrieanlagen.\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>Vor Stuxnet dachte niemand an den proaktiven Schutz von Industrieanlagen: Jeder glaubte, es reiche aus, die Anlagen von den globalen Netzwerken zu isolieren. Doch indem sie nicht-verbundene Maschinen erfolgreich angriffen, zeigten die T\u00e4ter, dass dies nicht ausreicht. Stuxnet kann daher in seiner Wichtigkeit mit dem so genannten Great Worm oder Morris-Wurm verglichen werden, der im Jahr 1988 entwickelt wurde.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die ersten Opfer von Stuxnet wurden von den Angreifern genau ausgew\u00e4hlt, so dass Angriffe auf das Uran in Natans m\u00f6glich wurden.<\/p>\n","protected":false},"author":40,"featured_media":4464,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711],"tags":[316,1238,1237,209,1653,1072,194],"class_list":{"0":"post-4463","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-cyberkrieg","9":"tag-cyberwaffen","10":"tag-natans","11":"tag-schadprogramme","12":"tag-security","13":"tag-spyware","14":"tag-stuxnet"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/stuxnet-ursprung-und-erste-opfer\/4463\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/cyberkrieg\/","name":"Cyberkrieg"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/4463","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/40"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=4463"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/4463\/revisions"}],"predecessor-version":[{"id":21298,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/4463\/revisions\/21298"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/4464"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=4463"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=4463"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=4463"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}