F-Secure gibt Antworten zu Stuxnet-Fragen
Cyber-Krimi: Malware greift Industrieanlagen und Maschinen an
Seit einiger Zeit hält die Schadsoftware "Stuxnet" die Welt in Atem und steht nicht nur in der Berichtserstattung im Mittelpunkt. Anders als die meisten Computerviren, -würmer oder Trojaner zielt der elektronische Angreifer nicht auf klassische PCs, um dort Passwörter oder Kreditkartendaten zu stehlen. Stuxnet greift stattdessen in die Steuerung von Industrieanlagen ein und kann dabei sehr komplexe Veränderungen am System vornehmen. Die Sicherheitsforscher aus dem F-Secure-Labor sind im eigenen Weblog auf wichtige Fragen zum Stuxnet-Wurm eingegangen und liefern Antworten auf die wichtigsten Fragen:
Was ist Stuxnet?
Es handelt sich dabei um einen Windows-Wurm, der sich über USB-Sticks verbreitet. Wenn sich der
Wurm einmal innerhalb eines Netzwerks eingenistet hat, dann repliziert er sich über gemeinsame
Netzwerklaufwerke weiter, die nur schwache Passwörter besitzen.
Kann sich der Wurm auch über andere Wechselmedien verbreiten?
Der Wurm kann sich über alles verbreiten, was an einen Rechner als Laufwerk angeschlossen werden
kann. Es spielt dabei keine Rolle, ob es sich um ein externes USB-Laufwerk, ein Mobiltelefon oder
einen digitalen Bilderrahmen handelt.
Was passiert im Anschluss?
Er infiziert das System, nistet sich mit einem Rootkit ein und überprüft, ob der infizierte
Rechner mit der Industrieanlage Siemens Simatic (Step7) verbunden ist.
Was bedeutet das für Simatic?
Stuxnet modifiziert ausgehende Befehle von einem Windows-Rechner an ein PLC und sucht nach einer
speziellen industriellen Ausstattung. Ist Stuxnet bei der Suche erfolglos, tritt er auch nicht
weiter in Erscheinung.
Welche Auswirkung hat Stuxnet auf Industrieanlagen?
Stuxnet nimmt sehr komplexe Veränderungen am System vor. Die Auswirkungen dieser Veränderungen
sind dabei davon abhängig, wie die Industrieumgebung aussieht.
Wie könnten von Stuxnet verursachte Schaden aussehen?
Stuxnet könnte Motoren überhitzen, Förderbänder anhalten oder Pumpen abschalten und damit eine
ganze Anlage lahm legen. Mit den richtigen Modifikationen könnte Stuxnet auch Gegenstände zur
Explosion bringen.
Warum wird Stuxnet als sehr komplex und dadurch gefährlich angesehen?
Es nutzt mehrere Schwachstellen für die Infektion eines Systems aus und kopiert zudem eigene
Treiber auf das infizierte System.
Wie kann Stuxnet einen eigenen Treiber installieren? Müssen solche Treiber-Dateien nicht bei
Microsoft-Betriebssystemen signiert sein?
Der Stuxnet-Treiber wurde mit gestohlenen Zertifikaten der Realtek Semiconductor Corporation
signiert.
Wurde das gestohlene Zertifikat mittlerweile gesperrt?
Ja. Verisign hat das gestohlene Zertifikat am 16. Juli 2010 für ungültig erklärt, eine
modifizierte Variante von Stuxnet mit einem ebenfalls gestohlenen Zertifikat von der Jmicron
Technology Corporation ist aber am 17. Juli 2010 aufgetaucht.
Gibt es einen Zusammenhang zwischen Realtek und Jmicron?
Eigentlich nicht. Aber beide Unternehmen haben ihren Hauptsitz im gleichen Bürokomplex in
Taiwan.
Welche Schwachstellen nutzt Stuxnet aus?
Es sind insgesamt fünf Schwachstellen, die Stuxnet ausnützt. Davon vier, die als Zero-Day
Exploits galten: LNK (MS10-046), Print Spooler (MS10-061), Server Service (MS08-067), Ausnutzung
von Nutzerprivilegien über die Tastatur-Layout-Datei, Ausnutzung von Nutzer-Privilegien über den
Task-Planer.
Und Microsoft hat diese Schwachstellen mittlerweile behoben?
Bis auf die beiden Schwachstellen, die die Privilegien ausnutzen, ja.
Warum hat es so lange gedauert, bis Stuxnet im Detail analysiert werden konnte?
Stuxnet ist außerordentlich komplex und mit über 1,5 MByte zudem noch ungewöhnlich groß.
Wann ist Stuxnet das erste Mal in Erscheinung getreten?
Im Juni 2009, oder sehr wahrscheinlich schon früher. Einige Komponenten von Stuxnet wurden
beispielsweise schon im Januar 2009 kompiliert.
Und wann wurde der Wurm erstmals entdeckt?
Ungefähr ein Jahr später, im Juni 2010.
Wurde Stuxnet durch eine Regierung programmiert?
Danach sieht es aus, ja. Wir wissen aber nicht bekannt, welche Regierung Stuxnet in Auftrag
gegeben hat.
Stimmt es, dass sich Stuxnet auf die Bibel bezieht?
Es gibt einen Bezug auf "Myrtus", die Pflanze Myrte. Allerdings ist dieser Bezug im Code auch
nicht versteckt. Es ist eher Artefakt, der beim Compile-Vorgang des Codes hinterlassen wurde. Im
Grunde genommen sagt es nur aus, wo die Autoren den Code auf deren Systemen gespeichert haben. Die
ausdrückliche Pfadangabe innerhalb von Stuxnet ist: \myrtus\src\objfre_w2k_x86\i386\guava.pdb. Die
Autoren von Stuxnet wollten vielleicht gar nicht, dass ihr Codename von Stuxnet bekannt werden
sollte. Aber dank dieses Artefaktes wissen wir es nun. Solche Artefakte sind nicht selten bei
Malware. Die Attacke „Operation Aurora“ gegen Google wurde landläufig so genannt, weil der folgende
Pfad innerhalb einer der Binaries gefunden wurde: \Aurora_Src\AuroraVNC\Avc\Release\AVC.pdb.
Könnte es eine andere Bedeutung haben?
Könnte es! Beispielsweise "My RTUs". RTU ist eine Abkürzung für "Remote Terminal Units", wie sie
in Industrieanlagen zum Einsatz kommen.
Wie erkennt Stuxent, ob es einen Rechner bereits infiziert hat?
Stuxnet "markiert" seine Infektionen anhand eines Registrierungsschlüssels und des Werts "
19790509".
Warum gerade "19790509"?
Es ist ein Datum, der 09. Mai 1979
Was geschah am 09. Mai 1979?
Vielleicht ist es der Geburtstag einer der Autoren. Darüber hinaus wurde an diesem Tag auch ein
jüdisch-iranischer Geschäftsmann mit dem Namen Habib Elghanian im Iran exekutiert und zwar wegen
angeblicher Industriespionage für Israel.
Lässt dies nicht doch einen Schluss auf die Regierung zu, die hinter Stuxnet stehen könnte?
Tatsache ist, dass derzeit niemand weiß, wer genau hinter der Stuxnet-Attacke steckt.
Gibt es einen Zusammenhang zwischen Stuxnet und Conficker?
Möglicherweise. Conficker trat im Zeitraum November 2008 bis April 2009 in mehreren Varianten
auf. Die erste Variante von Stuxnet erschien kurz darauf. Beide nutzen die Schwachstelle MS08-067,
beide können sich über USB-Sticks verbreiten und beide nutzen schwache Passwörter zur Verbreitung.
Und beide sind sehr komplex.
Gibt es auch einen Zusammenhang zu anderen Computerschädlingen?
Einige Zlob-Varianten waren die ersten, die die Schwachstelle MS08-067 ausnutzten.
Die AutoRun-Funktion zu deaktivieren, kann die Verbreitung des Wurms stoppen, richtig?
Falsch, es gibt verschiedene Mechanismen der Verbreitung, die solche USB-Würmer nutzen. Auch
wenn AutoRun und AutoPlay unter Windows deaktiviert wurden, kann Stuxnet mittels der Schwachstelle
LKN das System infizieren.
Stuxnet verbreitet sich somit immer weiter?
Aktuelle Versionen von Stuxnet haben ein "Ablaufdatum", den 24. Juni 2012. Danach verbreitet
sich der Wurm nicht mehr.
Wie viele Computer hat Stuxnet bis jetzt infiziert?
Einige Hundertausend.
Aber Siemens hatte veröffentlicht, dass nur 15 Anlagen infiziert sind?
Siemens spricht in diesem Zusammenhang von Anlagen. Die meisten der infizierten PCs sind nur "
Nebenwirkungen" von Stuxnet, sprich auch normale Heim- und Bürorechner, die nicht an SCADA-Systeme
angeschlossen sind, sind davon betroffen.
Wie konnte es den Angreifern gelingen, einen derartigen Trojaner in die Hochsicherheitssysteme
von Anlagen einzuschleusen?
Ein ganz einfaches Beispiel: Ein Einbrecher dringt in ein Haus eines Mitarbeiters ein und
infiziert dessen USB-Sticks mit Stuxnet. Dann ist es nur noch eine Frage der Zeit, wann der
Angestellte diese mit ins Büro nimmt und an den Rechner im Büro anschließt. Der Wurm repliziert
sich dann innerhalb des Netzwerkes weiter und findet dann irgendwann das gewünschte Ziel. Als
Nebeneffekt verbreitet sich Stuxnet eben auch auf andere Systeme.
Gibt es theoretisch noch andere Möglichkeiten, welche Auswirkungen Stuxnet haben könnte?
Siemens hatte letztes Jahr angekündigt, dass Simatic auch in der Lage sein wird, Alarmanlagen
und Zugänge zu kontrollieren. Theoretisch könnte man sich somit Zutritt zu strenggeheimen Bereichen
verschaffen.
War Stuxnet für den Untergang der „Deepwater Horizon“ und die Ölkatastrophe im Mexikanischen
Golf verantwortlich?
Das ist eher unwahrscheinlich. Obwohl auch Deepwater Horizon Siemens-PLC-Systeme im Einsatz
hatte.
LANline/jos
Lesen Sie mehr zum Thema
