„Stuxnet“ – Versionsunterschied

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
Versionsgeschichte interaktiv durchsuchen
[gesichtete Version][gesichtete Version]
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
Inhalt gelöscht Inhalt hinzugefügt
VisuellWikitext
(7 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''Stuxnet''' ist ein im Juni 2010 erstmals von der [[Weißrussland|weißrussischen]] Firma ''VirusBlokAda'' als ''RootkitTmphider'' beschriebener [[Computerwurm]]<ref>{{internetquelle
'''Stuxnet''' ist ein im Juli 2010 erstmals entdeckter [[Computerwurm]], der für Angriffe auf [[WinCC]]- und [[PCS7]]-Systeme spezialisiert ist. Stuxnet kann die Microsoft-Betriebssysteme Windows NT, Windows ME, Windows 2000, Windows XP, Windows 2003, Windows Vista (32 Bit), Windows Server 2008 und Windows 7 infizieren. Nach Angaben der Computersicherheitsfirma [[Symantec]] handelt es sich dabei um den ersten Wurm, der Industriesysteme nicht nur ausspionieren, sondern auch deren Funktionsweise manipulieren kann. Der Wurm nutzt dazu die in WinCC fest einprogrammierten Zugangsdaten für den [[Microsoft SQL Server]], vier verschiedene, [[Patch (Software)|ungepatchte]] Sicherheitslücken in Windows sowie zwei gestohlene digitale Signaturen der taiwanesischen Hardware-Hersteller [[Realtek]] und ''JMicron Technology''<ref>{{Internetquelle |url=http://www.securelist.com/en/blog/2234/Stuxnet_and_stolen_certificates |titel=Stuxnet and stolen certificates |autor=Costin Raiu |sprache=en |werk=Securelist |hrsg=Kaspersky Lab |datum=2010-07-20 |zugriff=2010-10-14 }}</ref><ref>{{Internetquelle |url=http://www.faz.net/s/RubCEB3712D41B64C3094E31BDC1446D18E/Doc~E8A0D43832567452FBDEE07AF579E893C~ATpl~Ecommon~Scontent.html |titel=Trojaner „stuxnet“: Der digitale Erstschlag ist erfolgt |autor=Frank Rieger |werk=FAZ.net |datum=2010-09-22 |zugriff=2010-10-03 }}</ref> aus. Nach Angaben von Siemens wurde der Wurm in 14 Anlagen gefunden. Schäden hätten jedoch nicht festgestellt werden können.<ref>{{Internetquelle |url=http://www.computerworld.com/s/article/print/9185419 /Siemens_Stuxnet_worm_hit_industrial_systems?taxonomyName=Network+Security&taxonomyId=142 |titel=Siemens: Stuxnet worm hit industrial systems
|autor=Nicolas Falliere, Liam O Murchu, Eric Chien
|autor=Robert McMillan |datum=2010-09-14 |werk=Computerworld |sprache=en |zugriff=2010-09-16}}</ref><ref>{{Internetquelle |url=http://www.heise.de/newsticker/meldung/Stuxnet-Wurm-kann-Industrieanlagen-steuern-1080584.html |titel=Stuxnet-Wurm kann Industrieanlagen steuern |datum=2010-09-16 |werk=Heise Online |zugriff=2010-09-16}}</ref> Siemens bietet auf einer speziellen Website Beratung zum Stuxnet-Wurm an.<ref>{{Internetquelle |url=http://support.automation.siemens.com/WW/llisapi.dll?func=cslib.csinfo&lang=de&objid=43876783&caller=view |titel=SIMATIC WinCC / SIMATIC PCS 7: Information bezüglich Malware / Virus / Trojaner |datum=2010-09-17| kommentar=Siemens Stuxnet Support, Beitrags-ID:43876783 |hrsg=[[Siemens AG]] |sprache=en |zugriff=2010-09-19}}</ref> Von den betroffenen Siemens-Kunden hätten fünf ihren Standort in Deutschland.<ref name="SZ20101002">{{Internetquelle |werk=sueddeutsche.de |datum=2010-10-02 |url=http://www.sueddeutsche.de/digital/gefaehrliches-schadprogramm-computer-virus-stuxnet-trifft-deutsche-industrie-1.1007379 |titel=Gefährliches Schadprogramm: Computer-Virus Stuxnet trifft deutsche Industrie |zugriff=2010-10-18 }}</ref> Diese seien jedoch bereits wieder virusfrei.<ref name="SWR20101001">{{Internetquelle |hrsg=[[SWR]] |datum=2010-10-02 |url=http://www.swr.de/nachrichten/-/id=396/nid=396/did=6971042/1427900/ |titel=Computer-Virus für Siemens-Steuerungen''Stuxnet'' aus deutschen Anlagen entfernt |zugriff=2010-10-18 }}</ref>
|hrsg=[[Symantec]]
|url=http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf
|titel=W32.Stuxnet Dossier 1.2
|werk=Timeline
|seiten=4
|datum=3. November 2010
|zugriff=9. November 2010
}}</ref>, der auf Angriffe von [[Simatic#Simatic S7|Simatic S7]]-Automatisierungssystemen der Firma [[Siemens]] spezialisiert ist. Von der Softwarefirma [[Symantec]] wird vermutet, dass dieser Wurm speziell für die [[Leittechnik]] einer speziellen Anlage im [[Iran]] geschrieben wurde.<ref>{{internetquelle
|autor=Eric Chien
|hrsg=[[Symantec]]
|url=http://www.symantec.com/connect/blogs/stuxnet-target-still-unknown
|titel=Stuxnet: Target Still Unknown
|datum=3. November 2010
|zugriff=9. November 2010
}}</ref>&nbsp;<ref>{{internetquelle
|autor=Nicolas Falliere, Liam O Murchu, Eric Chien
|hrsg=[[Symantec]]
|url=http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf
|titel=W32.Stuxnet Dossier 1.2
|werk=Executive Summary
|seiten=2
|datum=3. November 2010
|zugriff=9. November 2010
|zitat=Stuxnet is a threat targeting a specific industrial control system likely in Iran, such as a gas pipeline or power plant.
}}</ref>
Die außergewöhnlich massive Art seiner Verbreitung
# unter Ausnutzung verschiedener Sicherheitslücken der [[Microsoft]]-Betriebssysteme [[Windows 2000]] bis [[Windows 7]] und [[Windows Server 2008#Windows Server 2008 R2|Windows Server 2008 R2]],
# die Installation eines [[Rootkit]]s in diesen [[Betriebssystem]]en mit Hilfe gestohlener [[Digitale Signatur|digitaler Signaturen]] der [[Taiwan|taiwanesischen]] [[Hardware|Hardware-Hersteller]] [[Realtek]] und [[JMicron Technology]]<ref>{{Internetquelle |url=http://www.securelist.com/en/blog/2234/Stuxnet_and_stolen_certificates |titel=Stuxnet and stolen certificates |autor=Costin Raiu |sprache=en |werk=Securelist |hrsg=Kaspersky Lab |datum=2010-07-20 |zugriff=2010-10-14 }}</ref>,
# seine genauen Kenntnisse des [[Prozessvisualisierung]]ssystems [[WinCC]] zur [[Überwachung]] und [[Steuerungstechnik|Steuerung]] [[Technischer Prozess|technischer Prozesse]] ([[Supervisory Control and Data Acquisition|SCADA]]) und
# die Installation eines weiteren Rootkits in der [[Speicherprogrammierbare Steuerung|Steuerung einer solchen Anlage]] (SPS, engl. PLC)
ist bisher weltweit einmalig.<ref>{{internetquelle
|autor=Nicolas Falliere, Liam O Murchu, Eric Chien
|hrsg=[[Symantec]]
|url=http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf
|titel=W32.Stuxnet Dossier 1.2
|werk=Summary
|seiten=502
|datum=3. November 2010
|zugriff=9. November 2010
|zitat=Stuxnet represents the first of many milestones in malicious code history – it is the first to exploit four 0-day vulnerabilities, compromise two digital certificates, and inject code into industrial control systems and hide the code from the operator.
}}</ref>


{{Lückenhaft|Bisher (Nov. 2010) gesicherte Erkenntmisse sind von Vermutungen und Spekulationen der Wochen vorher besser abzugrenzen. --[[Benutzer:Grixlkraxl|grixlkraxl]] 18:05, 9. Nov. 2010 (CET)}}
IT-Sicherheitsspezialisten gehen davon aus, dass ''Stuxnet'' gezielt zur Sabotage iranischer Atomanlagen programmiert wurde. Der Aufwand für den Wurm sei gewaltig und teuer gewesen, zudem richte es nur in bestimmten Anlagen Schaden an, andere würden offenbar ohne Schaden lediglich infiziert. Als (unfreiwilliger) Verteiler käme vor allem die russische [[Atomstroiexport]] in Frage.<ref>{{Internetquelle |werk=sueddeutsche.de |datum=2010-10-01 |url=http://www.sueddeutsche.de/digital/interview-zum-stuxnet-sabotagevirus-die-buechse-der-pandora-ist-geoeffnet-1.1005985 |titel=Stuxnet-Sabotagevirus - "Die Büchse der Pandora ist geöffnet" |autor=Johannes Kuhn |zugriff=2010-10-14 }}</ref>


__TOC__
== Infektionsereignisse ==

Erstmals wurde Stuxnet von Serjej Ulasen von der weißrussischen Firma ''VirusBlokAda'' aufgrund eines Hinweises einer iranischen Vertragsfirma identifiziert. Dort kam es an der Rechenanlage zu Systemabstürzen und anderen Störungen.<ref name="SZ_PaulAntonKrueger_2010-10-02">{{Literatur |Autor=Paul Anton Krüger, et al. |Titel=Der Wurm und der Luftballon |Sammelwerk=Süddeutsche Zeitung |Jahr=2010|Monat=Oktober|Tag=2 }}</ref> Stuxnet nimmt einen Speicherplatz von etwas mehr als einem Megabyte ein. Bei einer Analyse der Dateien von Stuxnet stieß man auf eine temporäre Datei ''~wtr4141.tmp'', die als Zeitmarke das Datum vom 3. Februar 2009 hatte.<ref>{{Internetquelle |url=http://www.weeklystandard.com/blogs/how-stuxnet-scaring-tech-world-half-death?destination=node%2F496938 |autor=Jonathan V. Last |titel=How Stuxnet is Scaring the Tech World Half to Death |werk=WeekelyStandard.com |sprache=en |datum=2010-09-30 |zugriff=2010-10-03 }}</ref> Dieses Datum könnte auf eine erste Version von Stuxnet hinweisen.
== Verbreitung ==

Erstmals wurde Stuxnet im Juni 2010 von Sergej Ulasen von der weißrussischen Firma ''VirusBlokAda'' aufgrund eines Hinweises einer iranischen Vertragsfirma identifiziert. Dort kam es an der Rechenanlage zu Systemabstürzen und anderen Störungen.<ref name="SZ_PaulAntonKrueger_2010-10-02">{{Literatur |Autor=Paul Anton Krüger, et al. |Titel=Der Wurm und der Luftballon |Sammelwerk=Süddeutsche Zeitung |Jahr=2010|Monat=Oktober|Tag=2 }}</ref>
<!-- BTW: Wie soll man sog. "Qualitätsjournalismus" von Blog-Trolls unterscheiden, wenn man die Referenz nicht mal online einsehen kann? Klar wissen die Wurmexperten Anfang November 2010 mehr als Anfang Oktober ... Ich halte "Serjej" schonmal für einen Schreibfehler, Grixlkraxl -->
Seitdem beschäftigen sich verschiedene Hersteller von [[Sicherheitssoftware]] wie [[Eset|ESET]], [[Kaspersky Lab|Kaspersky]] und [[Symantec]] mit der Funktionsweise des Wurms. Auf der „Virus Bulletin 2010 conference“<ref>vgl. [[en:Virus Bulletin]]</ref> wurde von Symantec der bisherige Kenntnisstand im „W32.Stuxnet Dossier“ zusammengefasst.<ref>{{internetquelle
|hrsg=Symantec
|url=http://www.symantec.com/connect/blogs/w32stuxnet-dossier
|titel=W32.Stuxnet Dossier
|datum=30. September 2010
|zugriff=9. November 2010
}}</ref>

nicht SQL-Server sondern Zugangsdaten der WinCC-DB ;-)

* ... Der Wurm nutzt dazu die in WinCC fest einprogrammierten Zugangsdaten zur WinCC-Library,

* vier verschiedene, [[Patch (Software)|ungepatchte]] Sicherheitslücken in Windows
: inzwischen teilweise(!) gepatcht

Stuxnet nimmt einen Speicherplatz von etwas mehr als einem Megabyte ein. Bei einer Analyse der Dateien von Stuxnet stieß man auf eine temporäre Datei ''~wtr4141.tmp'', die als Zeitmarke das Datum vom 3. Februar 2009 hatte.<ref>{{Internetquelle |url=http://www.weeklystandard.com/blogs/how-stuxnet-scaring-tech-world-half-death?destination=node%2F496938 |autor=Jonathan V. Last |titel=How Stuxnet is Scaring the Tech World Half to Death |werk=WeekelyStandard.com |sprache=en |datum=2010-09-30 |zugriff=2010-10-03 }}</ref> Dieses Datum könnte auf eine erste Version von Stuxnet hinweisen.


Im Jahr 2009 bis Anfang 2010 infizierte Stuxnet die autorun.inf Dateien, die im Betriebssystem Windows auch als EXE-Dateien ausgeführt werden können. Im Zusammenhang mit weiteren besonderen Einstellungen der [[AutoRun]]-Optionen sollte dadurch die Möglichkeit der Infizierung von Windows-Systemen erweitert werden. Ab März 2010 nutzte Stuxnet dann die Schwachstelle der [[LNK-Datei]]en, um über [[USB-Stick]]s Windowssysteme zu infizieren.<ref>{{Internetquelle |url=http://www.symantec.com/connect/de/blogs/stuxnet-lnk-file-vulnerability |autor=Liam O. Murchu |titel=Stuxnet Before the .lnk File Vulnerability |werk=symantec.connect |hrsg=Symantec Corporation |sprache=en |datum=2010-09-24 |zugriff=2010-09-30 }}</ref>
Im Jahr 2009 bis Anfang 2010 infizierte Stuxnet die autorun.inf Dateien, die im Betriebssystem Windows auch als EXE-Dateien ausgeführt werden können. Im Zusammenhang mit weiteren besonderen Einstellungen der [[AutoRun]]-Optionen sollte dadurch die Möglichkeit der Infizierung von Windows-Systemen erweitert werden. Ab März 2010 nutzte Stuxnet dann die Schwachstelle der [[LNK-Datei]]en, um über [[USB-Stick]]s Windowssysteme zu infizieren.<ref>{{Internetquelle |url=http://www.symantec.com/connect/de/blogs/stuxnet-lnk-file-vulnerability |autor=Liam O. Murchu |titel=Stuxnet Before the .lnk File Vulnerability |werk=symantec.connect |hrsg=Symantec Corporation |sprache=en |datum=2010-09-24 |zugriff=2010-09-30 }}</ref>
Zeile 21: Zeile 82:


Inzwischen hat der Antivirenspezialist ''[[BitDefender]]'' ein kostenloses Bereinigungswerkzeug zur Erkennung und Entfernung von Stuxnet-Infektionen bereitgestellt.<ref>{{Internetquelle |url=http://www.bitdefender.de/NW1792-de--bitdefender-veroeffentlicht-kostenfreies-removal-tool-fuer-super-wurm-stuxnet.html |titel=BitDefender veröffentlicht kostenfreies Removal Tool für Super-Wurm Stuxnet |hrsg=BitDefender |datum=2010-10-12 |zugriff=2010-10-15 }}</ref>
Inzwischen hat der Antivirenspezialist ''[[BitDefender]]'' ein kostenloses Bereinigungswerkzeug zur Erkennung und Entfernung von Stuxnet-Infektionen bereitgestellt.<ref>{{Internetquelle |url=http://www.bitdefender.de/NW1792-de--bitdefender-veroeffentlicht-kostenfreies-removal-tool-fuer-super-wurm-stuxnet.html |titel=BitDefender veröffentlicht kostenfreies Removal Tool für Super-Wurm Stuxnet |hrsg=BitDefender |datum=2010-10-12 |zugriff=2010-10-15 }}</ref>

wg: "digitaler Erstschlag": ja, ja schau'n mer mal nach dem Fallout <ref>{{Internetquelle |url=http://www.faz.net/s/RubCEB3712D41B64C3094E31BDC1446D18E/Doc~E8A0D43832567452FBDEE07AF579E893C~ATpl~Ecommon~Scontent.html |titel=Trojaner „stuxnet“: Der digitale Erstschlag ist erfolgt |autor=Frank Rieger |werk=FAZ.net |datum=2010-09-22 |zugriff=2010-10-03 }}</ref>

Nach Angaben von Siemens wurde der Wurm in 14 Anlagen gefunden. Schäden hätten jedoch nicht festgestellt werden können.<ref>{{Internetquelle |url=http://www.computerworld.com/s/article/print/9185419 /Siemens_Stuxnet_worm_hit_industrial_systems?taxonomyName=Network+Security&taxonomyId=142 |titel=Siemens: Stuxnet worm hit industrial systems
|autor=Robert McMillan |datum=2010-09-14 |werk=Computerworld |sprache=en |zugriff=2010-09-16}}</ref><ref>{{Internetquelle |url=http://www.heise.de/newsticker/meldung/Stuxnet-Wurm-kann-Industrieanlagen-steuern-1080584.html |titel=Stuxnet-Wurm kann Industrieanlagen steuern |datum=2010-09-16 |werk=Heise Online |zugriff=2010-09-16}}</ref> Siemens bietet auf einer speziellen Website Beratung zum Stuxnet-Wurm an.<ref>{{Internetquelle |url=http://support.automation.siemens.com/WW/llisapi.dll?func=cslib.csinfo&lang=de&objid=43876783&caller=view |titel=SIMATIC WinCC / SIMATIC PCS 7: Information bezüglich Malware / Virus / Trojaner |datum=2010-09-17| kommentar=Siemens Stuxnet Support, Beitrags-ID:43876783 |hrsg=[[Siemens AG]] |sprache=en |zugriff=2010-09-19}}</ref> Von den betroffenen Siemens-Kunden hätten fünf ihren Standort in Deutschland.<ref name="SZ20101002">{{Internetquelle |werk=sueddeutsche.de |datum=2010-10-02 |url=http://www.sueddeutsche.de/digital/gefaehrliches-schadprogramm-computer-virus-stuxnet-trifft-deutsche-industrie-1.1007379 |titel=Gefährliches Schadprogramm: Computer-Virus Stuxnet trifft deutsche Industrie |zugriff=2010-10-18 }}</ref> Diese seien jedoch bereits wieder virusfrei.<ref name="SWR20101001">{{Internetquelle |hrsg=[[SWR]] |datum=2010-10-02 |url=http://www.swr.de/nachrichten/-/id=396/nid=396/did=6971042/1427900/ |titel=Computer-Virus für Siemens-Steuerungen''Stuxnet'' aus deutschen Anlagen entfernt |zugriff=2010-10-18 }}</ref>

Iran schon plausibel, aber besser in eigenen Abschnitt

IT-Sicherheitsspezialisten gehen davon aus, dass ''Stuxnet'' gezielt zur Sabotage iranischer Atomanlagen programmiert wurde. Der Aufwand für den Wurm sei gewaltig und teuer gewesen, zudem richte es nur in bestimmten Anlagen Schaden an, andere würden offenbar ohne Schaden lediglich infiziert. Als (unfreiwilliger) Verteiler käme vor allem die russische [[Atomstroiexport]] in Frage.<ref>{{Internetquelle |werk=sueddeutsche.de |datum=2010-10-01 |url=http://www.sueddeutsche.de/digital/interview-zum-stuxnet-sabotagevirus-die-buechse-der-pandora-ist-geoeffnet-1.1005985 |titel=Stuxnet-Sabotagevirus - "Die Büchse der Pandora ist geöffnet" |autor=Johannes Kuhn |zugriff=2010-10-14 }}</ref>


== Spekulationen über den Urheber und das Ziel von Stuxnet ==
== Spekulationen über den Urheber und das Ziel von Stuxnet ==
Zeile 38: Zeile 108:


Es gibt letztendlich nur vage Hinweise auf das Ziel von Stuxnet. Der Kryptograph ''[[Bruce Schneier]]'' geht davon aus, dass das wirkliche Ziel von Stuxnet für immer unbekannt bleiben wird.<ref>http://www.schneier.com/blog/archives/2010/10/stuxnet.html</ref>
Es gibt letztendlich nur vage Hinweise auf das Ziel von Stuxnet. Der Kryptograph ''[[Bruce Schneier]]'' geht davon aus, dass das wirkliche Ziel von Stuxnet für immer unbekannt bleiben wird.<ref>http://www.schneier.com/blog/archives/2010/10/stuxnet.html</ref>

== Weblinks ==

* {{Literatur
| Autor=Nicolas Falliere, Liam O Murchu, Eric Chien
| Herausgeber=[[Symantec]]
| Titel=W32.Stuxnet Dossier 1.2
| Jahr=2010
| Monat=November
| Tag=3
| Originalsprache=en
| Online=[http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf PDF]
| Zugriff=2010-11-09
}}

[http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf W32.Stuxnet Dossier] (PDF, englisch), Version 1.2 November 2010,


== Einzelnachweise ==
== Einzelnachweise ==

Version vom 9. November 2010, 19:05 Uhr

Stuxnet ist ein im Juni 2010 erstmals von der weißrussischen Firma VirusBlokAda als RootkitTmphider beschriebener Computerwurm[1], der auf Angriffe von Simatic S7-Automatisierungssystemen der Firma Siemens spezialisiert ist. Von der Softwarefirma Symantec wird vermutet, dass dieser Wurm speziell für die Leittechnik einer speziellen Anlage im Iran geschrieben wurde.[2] [3] Die außergewöhnlich massive Art seiner Verbreitung

  1. unter Ausnutzung verschiedener Sicherheitslücken der Microsoft-Betriebssysteme Windows 2000 bis Windows 7 und Windows Server 2008 R2,
  2. die Installation eines Rootkits in diesen Betriebssystemen mit Hilfe gestohlener digitaler Signaturen der taiwanesischen Hardware-Hersteller Realtek und JMicron Technology[4],
  3. seine genauen Kenntnisse des Prozessvisualisierungssystems WinCC zur Überwachung und Steuerung technischer Prozesse (SCADA) und
  4. die Installation eines weiteren Rootkits in der Steuerung einer solchen Anlage (SPS, engl. PLC)

ist bisher weltweit einmalig.[5]

In diesem Artikel oder Abschnitt fehlen noch folgende wichtige Informationen:
Bisher (Nov. 2010) gesicherte Erkenntmisse sind von Vermutungen und Spekulationen der Wochen vorher besser abzugrenzen. --grixlkraxl 18:05, 9. Nov. 2010 (CET)
Hilf der Wikipedia, indem du sie recherchierst und einfügst.

Verbreitung

Erstmals wurde Stuxnet im Juni 2010 von Sergej Ulasen von der weißrussischen Firma VirusBlokAda aufgrund eines Hinweises einer iranischen Vertragsfirma identifiziert. Dort kam es an der Rechenanlage zu Systemabstürzen und anderen Störungen.[6] Seitdem beschäftigen sich verschiedene Hersteller von Sicherheitssoftware wie ESET, Kaspersky und Symantec mit der Funktionsweise des Wurms. Auf der „Virus Bulletin 2010 conference“[7] wurde von Symantec der bisherige Kenntnisstand im „W32.Stuxnet Dossier“ zusammengefasst.[8] 

nicht SQL-Server sondern Zugangsdaten der WinCC-DB ;-)
  • ... Der Wurm nutzt dazu die in WinCC fest einprogrammierten Zugangsdaten zur WinCC-Library,
  • vier verschiedene, ungepatchte Sicherheitslücken in Windows
inzwischen teilweise(!) gepatcht

Stuxnet nimmt einen Speicherplatz von etwas mehr als einem Megabyte ein. Bei einer Analyse der Dateien von Stuxnet stieß man auf eine temporäre Datei ~wtr4141.tmp, die als Zeitmarke das Datum vom 3. Februar 2009 hatte.[9] Dieses Datum könnte auf eine erste Version von Stuxnet hinweisen.

Im Jahr 2009 bis Anfang 2010 infizierte Stuxnet die autorun.inf Dateien, die im Betriebssystem Windows auch als EXE-Dateien ausgeführt werden können. Im Zusammenhang mit weiteren besonderen Einstellungen der AutoRun-Optionen sollte dadurch die Möglichkeit der Infizierung von Windows-Systemen erweitert werden. Ab März 2010 nutzte Stuxnet dann die Schwachstelle der LNK-Dateien, um über USB-Sticks Windowssysteme zu infizieren.[10]

Stuxnet soll auch die Möglichkeit einer wiederholten Selbstinfektion besitzen. Zu diesem Zweck befällt Stuxnet die Entwicklungsumgebung für speicherprogrammierbare Steuerungen Step 7 und legt dabei neue DLLs an, die teilweise verschlüsselt sind. Durch Suchvorgänge beim Laden von Systembibliotheken wird dann eine der modifizierten DLLs geladen, entschlüsselt und dies bewirkt das Laden der ursprünglichen Dateien von Stuxnet. Damit ereignet sich eine neue Infektion, die auch ein vorheriges Löschen der Dateien von Stuxnet wieder kompensiert.[11] Nach Untersuchungen von Liam O Murchu sendet Stuxnet an Server Nachrichten, die ihren Sitz in Dänemark und Malaysia haben.[6]

Im September 2010 erklärte der iranische Kommunikationsminister Resa Taghipur, dass im Iran rund 30.000 Computer von Stuxnet befallen seien, darunter auch Rechner des Kernkraftwerks Buschehr.[12] Einer Untersuchung der IT-Sicherheitsfirma Symantec zufolge stehen knapp 60 Prozent der infizierten Rechner in Iran, knapp 20 Prozent in Indonesien, gut acht Prozent in Indien.[13]

Auch in China hat sich der Wurm laut der staatlichen Nachrichtenagentur Xinhua ausgebreitet, insgesamt sollen sechs Millionen Rechner und etwa 1000 Unternehmensrechner betroffen sein.[14]

Zum Infektionsprozess wurden zwei tiefschürfende Analysen veröffentlicht. Symantec gab Anfang Oktober 2010 eine Analyse heraus, die detailliert die Prozesse untersuchte, die von den manipulierten DLLs ausgingen.[15] Trend Micro hat eine Analyse von Stuxnet veröffentlicht, die sich besonders mit der Manipulation der Dateien, der Nutzung der Windows-Exploits und der Verbreitung von Stuxnet befasst.[16]

Mit der Sicherheitsaktualisierung von Microsoft für Windows vom 12. Oktober 2010 wurden drei von vier von Stuxnet benutzten Sicherheitslücken geschlossen.[17]

Inzwischen hat der Antivirenspezialist BitDefender ein kostenloses Bereinigungswerkzeug zur Erkennung und Entfernung von Stuxnet-Infektionen bereitgestellt.[18] 

wg: "digitaler Erstschlag": ja, ja schau'n mer mal nach dem Fallout [19]

Nach Angaben von Siemens wurde der Wurm in 14 Anlagen gefunden. Schäden hätten jedoch nicht festgestellt werden können.[20][21] Siemens bietet auf einer speziellen Website Beratung zum Stuxnet-Wurm an.[22] Von den betroffenen Siemens-Kunden hätten fünf ihren Standort in Deutschland.[23] Diese seien jedoch bereits wieder virusfrei.[24] 

Iran schon plausibel, aber besser in eigenen Abschnitt

IT-Sicherheitsspezialisten gehen davon aus, dass Stuxnet gezielt zur Sabotage iranischer Atomanlagen programmiert wurde. Der Aufwand für den Wurm sei gewaltig und teuer gewesen, zudem richte es nur in bestimmten Anlagen Schaden an, andere würden offenbar ohne Schaden lediglich infiziert. Als (unfreiwilliger) Verteiler käme vor allem die russische Atomstroiexport in Frage.[25]

Spekulationen über den Urheber und das Ziel von Stuxnet

Laut Wieland Simon (Siemens) müssen an der Entwicklung des Virus Experten und Ingenieure aus ganz unterschiedlichen Bereichen beteiligt gewesen sein – neben Windows-Programmierern auch Fachleute der Automatisierungstechnik und von großen Industrieanlagen. Nur ein solches Team wäre in der Lage einen Schädling zu programmieren, der nacheinander mehrere technisch sehr unterschiedliche Hürden überwindet.[26]

Aufgrund des großen Programmieraufwandes wird von Jewgeni Kasperski und anderen Fachleuten angenommen, dass der Wurm nicht von Privatpersonen, sondern vermutlich von einer staatlichen Organisation stammt.[27][28] Auch die hohen Entwicklungskosten für den Wurm, die auf einen 7-stelligen Dollar-Betrag geschätzt werden, sprächen dafür.

Mehrere Teams von Experten fanden im Viruscode Textbausteine, die nahe legen, dass die Angreifer ihr Projekt Myrtus nannten. Der deutsche IT-Sicherheitsspezialist Langner wies als erster auf die mögliche Anspielung auf den ursprünglichen hebräische Namen der Bibelfigur Esther hin. Carol Newsom, Professorin für Altes Testament an der Emory University bestätigte den linguistischen Zusammenhang der hebräischen Wörtern für Myrtus und Esther (Hadassah). Das Buch Esther im alten Testament (hebräische Bibel) erzählt die Geschichte eines geplanten Anschlags der Perser auf die Juden, die Letztere durch einen Erstschlag verhindern konnten.[29]

In den Medien wurde diese Spekulation als Hinweis auf eine mögliche Urheberschaft Israels gewertet.[14] Laut Süddeutsche Zeitung halten die meisten Fachleute diese These allerdings für eine Verschwörungstheorie.[23] Es könnte auch eine falsch ausgelegte Fährte sein.[24] Shai Blitzblau, technischer Direktor und Chef von Maglan, eine israelische IT-Sicherheitsfirma im Militärbereich, ist überzeugt, dass Israel nichts mit Stuxnet zu tun hat. Er vermutet Wirtschaftsspionage gegen Siemens oder eine Art "akademisches Experiment”.[29]

Yossi Melman, Journalist der israelischen Tageszeitung Haaretz, hält Israel für den wahrscheinlichen Urheber. Er führt an, dass der Vertrag des Direktors des israelischen Auslandsgeheimdienstes, Meir Dagan, letztes Jahr verlängert wurde, da er in wichtige Projekte involviert sei. Zudem hätte Israel den geschätzten Zeitpunkt, bis Iran eine Atombombe besitzt, überraschend auf das Jahr 2014 nach hinten verschoben.[29]

Laut einem Artikel der New York Times vom 30. September 2010, behauptet ein ehemaliges Mitglied der United States Intelligence Community, dass der israelische Nachrichtendienst Unit 8200, der mit der NSA vergleichbar ist, den Angriff mit Stuxnet ausgeführt habe.[30]

Medienberichten zufolge war möglicherweise die iranische Urananreicherungsanlage in Natanz das Ziel der Attacke.[31][32][33][34][35][36] Laut geheimen Dokumenten, die über die Internetplattform WikiLeaks an die Öffentlichkeit gebracht wurden, gab es in Natanz im Jahr 2009 einen nuklearen Störfall, der die Produktionskapazität der Anlage um 15 Prozent reduzierte.[37] Es wird angenommen, dass die Zentrifugen der Anlage durch WinCC-Systeme gesteuert werden.[32]

Es gibt letztendlich nur vage Hinweise auf das Ziel von Stuxnet. Der Kryptograph Bruce Schneier geht davon aus, dass das wirkliche Ziel von Stuxnet für immer unbekannt bleiben wird.[38]

Weblinks

  • Nicolas Falliere, Liam O Murchu, Eric Chien: W32.Stuxnet Dossier 1.2. Hrsg.: Symantec. 3. November 2010 (PDF [abgerufen am 9. November 2010]).

W32.Stuxnet Dossier (PDF, englisch), Version 1.2 November 2010,

Einzelnachweise

  1. Nicolas Falliere, Liam O Murchu, Eric Chien: W32.Stuxnet Dossier 1.2. In: Timeline. Symantec, 3. November 2010, S. 4, abgerufen am 9. November 2010.
  2. Eric Chien: Stuxnet: Target Still Unknown. Symantec, 3. November 2010, abgerufen am 9. November 2010.
  3. Nicolas Falliere, Liam O Murchu, Eric Chien: W32.Stuxnet Dossier 1.2. In: Executive Summary. Symantec, 3. November 2010, S. 2, abgerufen am 9. November 2010: „Stuxnet is a threat targeting a specific industrial control system likely in Iran, such as a gas pipeline or power plant.“
  4. Costin Raiu: Stuxnet and stolen certificates. In: Securelist. Kaspersky Lab, 20. Juli 2010, abgerufen am 14. Oktober 2010 (englisch).
  5. Nicolas Falliere, Liam O Murchu, Eric Chien: W32.Stuxnet Dossier 1.2. In: Summary. Symantec, 3. November 2010, S. 502, abgerufen am 9. November 2010: „Stuxnet represents the first of many milestones in malicious code history – it is the first to exploit four 0-day vulnerabilities, compromise two digital certificates, and inject code into industrial control systems and hide the code from the operator.“
  6. a b Paul Anton Krüger, et al.: Der Wurm und der Luftballon. In: Süddeutsche Zeitung. 2. Oktober 2010.
  7. vgl.
  8. W32.Stuxnet Dossier. Symantec, 30. September 2010, abgerufen am 9. November 2010.
  9. Jonathan V. Last: How Stuxnet is Scaring the Tech World Half to Death. In: WeekelyStandard.com. 30. September 2010, abgerufen am 3. Oktober 2010 (englisch).
  10. Liam O. Murchu: Stuxnet Before the .lnk File Vulnerability. In: symantec.connect. Symantec Corporation, 24. September 2010, abgerufen am 30. September 2010 (englisch).
  11. Daniel Bachfeld: Stuxnet-Wurm: weitere Tricks im Cyberwar. In: heise Security. 29. September 2010, abgerufen am 30. September 2010.
  12. Iran bestätigt Cyber-Angriff durch Stuxnet. In: Heise online. 26. September 2010, abgerufen am 26. September 2010.
  13. Iran wirft Westen Cyber-Propaganda vor. Spiegel Online, 28. September 2010, abgerufen am 30. September 2010.
  14. a b Stuxnet Attacken in China. In: Kurier.at. 1. Oktober 2010, abgerufen am 3. Oktober 2010.
  15. Nicolas Falliere, Liam O Murchu, Eric Chien: W32.Stuxnet Dossier. (PDF) Symantec Security Response, , abgerufen am 13. Oktober 2010 (englisch, Version 1.1).
  16. WORM_STUXNET.A. Technical Details. Trend Micro, 30. September 2010, abgerufen am 13. Oktober 2010 (englisch).
  17. Daniel Bachfeld: MS-Patchday: Eine Stuxnet-Lücke bleibt weiter offen [Update]. In: Heise online. 12. Oktober 2010, abgerufen am 15. Oktober 2010.
  18. BitDefender veröffentlicht kostenfreies Removal Tool für Super-Wurm Stuxnet. BitDefender, 12. Oktober 2010, abgerufen am 15. Oktober 2010.
  19. Frank Rieger: Trojaner „stuxnet“: Der digitale Erstschlag ist erfolgt. In: FAZ.net. 22. September 2010, abgerufen am 3. Oktober 2010.
  20. Robert McMillan: Siemens: Stuxnet worm hit industrial systems. In: Computerworld. 14. September 2010, abgerufen am 16. September 2010 (englisch).
  21. Stuxnet-Wurm kann Industrieanlagen steuern. In: Heise Online. 16. September 2010, abgerufen am 16. September 2010.
  22. SIMATIC WinCC / SIMATIC PCS 7: Information bezüglich Malware / Virus / Trojaner. Siemens AG, 17. September 2010, abgerufen am 19. September 2010 (englisch, Siemens Stuxnet Support, Beitrags-ID:43876783).
  23. a b Gefährliches Schadprogramm: Computer-Virus Stuxnet trifft deutsche Industrie. In: sueddeutsche.de. 2. Oktober 2010, abgerufen am 18. Oktober 2010.
  24. a b Computer-Virus für Siemens-SteuerungenStuxnet aus deutschen Anlagen entfernt. SWR, 2. Oktober 2010, abgerufen am 18. Oktober 2010.
  25. Johannes Kuhn: Stuxnet-Sabotagevirus - "Die Büchse der Pandora ist geöffnet". In: sueddeutsche.de. 1. Oktober 2010, abgerufen am 14. Oktober 2010.
  26. Andreas Hirstein: «Hier war ein Expertenteam am Werk» - Stuxnet, ein gefährlicher Computerwurm. NZZ, 26. September 2010, abgerufen am 15. Oktober 2010.
  27. Der „Hack des Jahrhunderts“. "Stuxnet"-Virus legt Iran lahm. In: ORF.at. Österreichischer Rundfunk, 26. September 2010, abgerufen am 30. September 2010.
  28. Frank Rieger: Trojaner „stuxnet“ – Der digitale Erstschlag ist erfolgt. In: FAZ.NET. 22. September 2010, abgerufen am 30. September 2010.
  29. a b c Ethan Bronner & William J. Broad: In a Computer Worm, a Possible Biblical Clue. In: NYTimes. 29. September 2010, abgerufen am 2. Oktober 2010 (englisch).
  30. John Markoff, Kevin O'Brien: A Silent Attack, but Not a Subtle One. In: New York Times online. 30. September 2010, abgerufen am 15. Oktober 2010 (englisch).
  31. Adnan Vatandas: Stuxnet: Eine kurze Geschichte. Wordpress, 29. September 2010, abgerufen am 30. September 2010.
  32. a b Mark Clayton: Stuxnet worm mystery: What's the cyber weapon after? Yahoo News, 25. Februar 2009, abgerufen am 28. September 2010 (englisch).
  33. The Stuxnet worm: A cyber-missile aimed at Iran? The Economist, 24. September 2010, abgerufen am 28. September 2010 (englisch).
  34. Iran Confirms Stuxnet Damage to Nuclear Facilities. Tikun Olam, 25. September 2010, abgerufen am 28. September 2010 (englisch).
  35. Blake Hounshell: 6 mysteries about Stuxnet. In: Blog.foreignpolicy.com. 27. September 2010, abgerufen am 18. Oktober 2010 (englisch).
  36. Paul Woodward: Iran confirms Stuxnet found at Bushehr nuclear power plant. Warincontext.org, 26. September 2010, abgerufen am 28. September 2010 (englisch).
  37. Serious nuclear accident may lay behind Iranian nuke chief%27s mystery resignation. wikileaks;
  38. http://www.schneier.com/blog/archives/2010/10/stuxnet.html
Abgerufen von „https://de.wikipedia.org/w/index.php?title=Stuxnet&oldid=81313109