Was Sie über Stuxnet wissen sollten

Foto: Inspired by Maps – shutterstock.com

Stuxnet ist ein mächtiger Computerwurm, der von amerikanischen und israelischen Geheimdiensten entwickelt wurde, um das iranische Atomprogramm zu sabotieren. Der Wurm breitete sich unerwarteterweise auch auf externe Computersysteme aus – was eine Reihe von Fragen bezüglich seines Designs und Zwecks aufwarf. Stuxnet nutzte mehrere bis dato unbekannte Schwachstellen in Windows-Systemen aus. Ein Umstand, der klarmachte, dass Stuxnet Teil einer hochrangigen, staatlich gelenkten Sabotage-Aktion war.

Stuxnet – Entwicklung

Inzwischen ist allgemein bekannt, dass Stuxnet von den Geheimdiensten der USA und Israel entwickelt wurde. Innerhalb der IT Community wurde der Wurm erstmals im Jahr 2010 bekannt – seine Entwicklung dürfte allerdings bereits im Jahr 2005 begonnen haben. Das Ziel: Den Iran daran hindern, Atomwaffen zu entwickeln.

Die US-Regierung ging davon aus, dass Israel Luftangriffe auf iranische Atomanlagen fliegen würde, wenn die Entwicklung von Atomwaffen voranschreiten würde. Um einen regionalen Krieg zu verhindern, wurde unter dem Codenamen “Operation Olympic Games” ein Geheimprogramm zur Entwicklung von Stuxnet aufgesetzt, das unter US-Präsident George W. Bush begonnen und unter Präsident Obama fortgesetzt wurde. Keine der beiden US-Administrationen hat jemals offiziell zugegeben, Stuxnet entwickelt zu haben. Allerdings wurde der Wurm in einem Video im Jahr 2011, das anlässlich der Verabschiedung des israelischen Verteidigungsministers Gabi Ashkenazi produziert wurde, als einer dessen größter Erfolge benannt.

Die einzelnen Akteure hinter Stuxnet wurden nicht identifiziert. Es ist allerdings davon auszugehen, dass es sich nicht um Einzelakteure handelte, wie Roel Schouwenberg von Kaspersky Lab in einem Interview aus dem Jahr 2013 verdeutlichte: “Ein Team aus zehn Programmierern bräuchte zwei bis drei Jahre, um einen Wurm wie Stuxnet zu entwickeln.”

Mehrere andere Würmer mit Stuxnet-ähnlichen Infektionsmöglichkeiten, darunter beispielsweise “Duqu” und “Flame”, wurden in freier Wildbahn identifiziert. Obwohl diese ganz andere Ziele als Stuxnet verfolgten, veranlassten die Ähnlichkeiten Experten zu der Annahme, dass sie aus demselben Entwicklungsumfeld stammen – das offenbar immer noch aktiv ist.

Stuxnet – Ziele & Funktionsweise

Stuxnet sollte die Zentrifugen zerstören, mit denen der Iran im Rahmen seines Atomprogramms Uran anreicherte. Letzteres kommt vor allem in Form des Isotops U-238 in der Natur vor. Das spaltbare Material, das in einem Kernkraftwerk oder Atomwaffen verwendet wird, muss jedoch aus dem etwas leichteren U-235 hergestellt werden. Dazu sind Zentrifugen nötig: Sie trennen die verschiedenen Isotope mittels Zentrifugalkraft nach ihrem Gewicht auf. Dabei sind sie äußerst empfindlich: Es ist nicht ungewöhnlich, dass sie im Laufe des normalen Betriebs beschädigt werden.

Wenn Stuxnet einen Computer infiziert, prüft es, ob dieser mit bestimmten Modellen von speicherprogrammierbaren Steuerungen (SPS) des Herstellers Siemens verbunden ist. Mit Hilfe von SPS interagieren Computer mit Industriemaschinen (wie Zentrifugen zur Urananreicherung) und steuern diese. Werden keine SPS erkannt, bleibt der Wurm untätig. Wenn doch, ändert Stuxnet die Programmierung der SPS, was dazu führt, dass sich die Zentrifugen unregelmäßig drehen und dabei beschädigt oder zerstört werden. Während das geschieht, teilen die SPS dem Steuerungscomputer fälschlicherweise mit, dass alles einwandfrei funktioniert. Es ist also besonders schwierig, den Fehler zu erkennen, bevor der Schaden angerichtet ist.

Dabei greift Stuxnet alle Ebenen der Zielinfrastruktur an:

• Windows,

• die unter Windows laufende Siemens-Software (die die SPS steuert), und

• die eingebettete Software auf den SPS selbst.

Der Wurm ist so konzipiert, dass er einerseits über ein Wechsellaufwerk wie einen USB-Stick übertragen werden kann, sich andererseits aber auch in internen Netzwerken von Rechner zu Rechner ausbreitet. Die Atomanlage im iranischen Natanz, in der die Urananreicherung stattfand, war bekanntermaßen mit einem Air Gap versehen – die Systeme nicht mit dem Internet verbunden. Sowohl im User- als auch im Kernel-Modus verfügt Stuxnet über Rootkit-Fähigkeiten: Zur Installation des Rootkits im Kernel-Modus werden digital signierte Gerätetreiber verwendet, die private Schlüsselzertifikate nutzen (die wiederum von bekannten taiwanesischen Geräteherstellern gestohlen wurden). Sobald Stuxnet die Kontrolle über die Steuerungen erlangt, verändert der Wurm die Rotationsgeschwindigkeiten der Zentrifugen und macht diese innerhalb kürzester Zeit unbrauchbar.

Um die Windows-PCs in der iranischen Atomanlage zu infizieren, nutzte Stuxnet nicht weniger als vier verschiedene Zero-Day-Schwachstellen aus – eine Schwachstelle in der Windows-Verknüpfung, einen Fehler im Druckspooler und zwei Privilege-Escalation-Schwachstellen – sowie eine Zero-Day-Schwachstelle in den Siemens-SPS-Systemen und eine alte Sicherheitslücke, die bereits beim Conficker-Angriff verwendet wurde. Schon die schiere Anzahl der ausgenutzten Schwachstellen ist ungewöhnlich, da Zero-Day-Lücken nach einem Angriff in der Regel schnell gepatcht werden und Cyberkriminelle oft nicht so viele Schwachstellen für einen einzigen Angriff offenbaren wollen.

Sicherheitsforscher haben zwar keinen Zugriff auf die Codebasis von Stuxnet, konnten aber anhand der Analyse der vorliegenden Bestandteile ermitteln, dass der Code in mehreren Sprachen geschrieben wurde, darunter C, C++ und einige objektorientierte Sprachen. Auch dieser Umstand ist für Malware ungewöhnlich und zeigt den Grad der Raffinesse, mit der der Wurm erstellt wurde. Der Stuxnet-Wurm konnte das iranische Atomprogramm erfolgreich stören – Schätzungen von Analysten zufolge hat die Malware die Bemühungen des Iran um mindestens zwei Jahre zurückgeworfen.

Stuxnet – Detektion

Stuxnet wurde entdeckt, weil es sich unerwarteterweise über die Atomanlage in Natanz hinaus ausbreiten konnte. Wie das genau geschah, ist bis heute unbekannt. Es besteht die Möglichkeit, dass unzureichende Security-Praktiken ursächlich waren – etwa ein Arbeits-Laptop, der unerlaubterweise mit dem Internet verbunden wurde.

Dank seiner ausgeklügelten und äußerst aggressiven Natur wurde Stuxnet so schnell innerhalb der Sicherheits-Community bekannt. Liam O’Murchu, Director Security Technology and Response Group bei Symantec und Mitglied des Teams, das Stuxnet zuerst entschlüsselt hat, zeigte sich gegenüber unseren US-Kollegen beeindruckt von der Malware: “Stuxnet war der bei weitem komplexeste Code, den wir je untersucht haben – eine völlig andere Liga als alles, was wir bisher gesehen hatten. Der ursprüngliche Quellcode des Wurms wurde weder veröffentlicht noch an Dritte weitergegeben und kann auch nicht aus den Binärdateien extrahiert werden, die in freier Wildbahn kursieren.”

Dennoch könne man viel über den Code von Stuxnet lernen, wenn man seine Binärdatei in Aktion sehe und etwas von Reverse Engineering verstehe: “Dann wird ziemlich offensichtlich, dass die Malware nach einem Siemens-Gerät sucht. Nach drei bis sechs Monaten Reverse Engineering waren wir schließlich in der Lage, 99 Prozent aller Vorgänge im Code zu bestimmen”, so der Security-Experte.

Diese gründliche Analyse enthüllte schließlich auch den Einsatzzweck des Wurms: “Wir konnten im Code erkennen, dass er nach acht oder zehn Arrays mit jeweils 168 Frequenzumrichtern suchte. In der Online-Dokumentation der Internationalen Atomenergiebehörde ist genau beschrieben, was man in einer Urananlage sehen würde – wie viele Frequenzumwandler es gibt und wie viele Zentrifugen. Sie wären in acht Reihen angeordnet, und in jeder Reihe befänden sich 168 Zentrifugen. Das ist genau das, was wir im Code gesehen haben. Dieser Durchbruch war sehr aufregend – aber dann wurde uns klar, worauf wir uns eingelassen hatten. Eine internationale Spionageoperation – ziemlich beängstigend.”

Stuxnet ist heute noch immer in Umlauf, stellt jedoch auch heute keine große Bedrohung für die Cybersicherheit mehr dar. Obwohl der Wurm wegen seiner Fähigkeiten und seiner geheimnisumwitterten Entstehung für viele Schlagzeilen sorgte, war er auch damals außerhalb der iranischen Atomanlage, die er sabotieren sollte, keine große Bedrohung. Wenn Ihr Rechner mit Stuxnet infiziert wird kommt es im Worst Case zu einigen Neustarts oder Blue Screens – es sei denn, sie haben eine Zentrifuge zur Urananreicherung angebunden.

Darüber hinaus sind die Zero-Day-Schwachstellen, die Stuxnet ursprünglich ausgenutzt hat, längst gepatcht. Solange Sie die Grundlagen guter Cyberhygiene beachten und Ihr Betriebssystem und Ihre Sicherheitssoftware auf dem neuesten Stand halten, brauchen Sie sich keine Sorgen zu machen. Vergessen Sie nicht, dass Stuxnet auch SPS betrifft, also sollten Sie auch Ihre OT so sicher wie möglich halten.

Mehr zur Historie von Stuxnet erfahren Sie zudem in der bereits 2016 veröffentlichten Dokumentation “Zero Days”:

Stuxnet – Bedeutung für die Cybersecurity

Wenn eine Bedrohung von Stuxnet ausgeht, dann von seinen “Nachfahren”. Wie bereits erwähnt gibt es andere Malware-Familien, deren Funktionalitäten von Stuxnet abgeleitet zu sein scheinen. Diese könnten aus demselben Umfeld oder von “freiberuflichen” Hackern stammen, denen es gelungen ist, leistungsfähige Teile von Stuxnet per Reverse Engineering wiederherzustellen. Auch Sicherheitsforscher bauen immer noch auf Stuxnet auf, um neue Angriffstechniken aufzudecken.

Davon abgesehen ist Stuxnet für die Cybersicherheit auch deshalb von großer Bedeutung, weil sein Einsatz eine Premiere darstellte: Erstmals wurde Computercode genutzt, um in internationale Konflikte einzugreifen. Das war zuvor nur Stoff für Science-Fiction-Filme und -Bücher. In den Jahren die seither vergangen sind, haben sich Cyberangriffe als Teil kriegerischer Auseinandersetzungen etabliert, wie insbesondere der russische Angriffskrieg in der Ukraine deutlich macht.

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.