Was ist Stuxnet?

Wenn es um Cybersicherheit geht, sind es normalerweise Datenschutzverletzungen, die für Schlagzeilen sorgen. Diese Vorfälle betreffen viele Menschen und stellen eine schreckliche Nachricht für das Unternehmen dar, das von der Datenpanne betroffen ist. Viel seltener hört man von einem neuen Zero-Day-Exploit, der häufig eine Flut von Datenschutzverletzungen bei Unternehmen ankündigt, die sich nicht selbst schützen können. Es kommt nicht sehr oft vor, dass man von Cybervorfällen hört, die Benutzer nicht direkt betreffen. Stuxnet ist eine dieser seltenen Ausnahmen.

Es bahnt sich seinen Weg hinein

Stuxnet ist der Name einer Malware-Variante. Konkret handelt es sich um einen Wurm. Unter einem Wurm versteht man jede Malware, die sich automatisch von einem infizierten Gerät auf ein anderes verbreiten kann. Dies ermöglicht eine schnelle Ausbreitung, da eine einzelne Infektion zu einer viel größeren Infektion führen kann. Das war es nicht einmal, was Stuxnet berühmt machte. Es war auch nicht wichtig, wie weit es sich ausbreitete, da es nicht so viele Infektionen verursachte. Was Stuxnet auszeichnete, waren seine Ziele und seine Techniken.

Stuxnet wurde erstmals in einer Nuklearforschungsanlage im Iran gefunden. Konkret die Anlage in Natanz. Dabei fallen ein paar Dinge auf. Erstens war Natanz eine Atomanlage, die an der Anreicherung von Uran arbeitete. Zweitens war die Einrichtung nicht mit dem Internet verbunden. Dieser zweite Punkt erschwert die Infektion des Systems mit Malware und wird üblicherweise als „Air Gap“ bezeichnet. Ein Air Gap wird im Allgemeinen für anfällige Systeme verwendet, die keine aktive Internetverbindung benötigen. Es erschwert zwar die Installation von Updates, verringert aber auch die Bedrohungslage.

In diesem Fall konnte Stuxnet durch den Einsatz von USB-Sticks die Luftlücke „überbrücken“. Die genaue Geschichte ist unbekannt, es gibt zwei beliebte Optionen. Die ältere Geschichte besagte, dass die USB-Sticks heimlich auf den Parkplatz der Einrichtung geworfen wurden und dass ein übermäßig neugieriger Mitarbeiter sie eingesteckt habe. In einer neueren Geschichte wird behauptet, dass ein holländischer Maulwurf, der in der Einrichtung arbeitete, entweder den USB-Stick eingesteckt oder jemand anderen damit beauftragt habe So. Die Schadsoftware auf dem USB-Stick enthielt den ersten von vier Zero-Day-Exploits, die in Stuxnet zum Einsatz kamen. Dieser Zero-Day startete die Schadsoftware automatisch, sobald der USB-Stick an einen Windows-Computer angeschlossen wurde.

Ziele von Stuxnet

Das Hauptziel von Stuxnet scheint die Atomanlage Natanz zu sein. Auch andere Einrichtungen waren betroffen, wobei der Iran fast 60 % aller weltweiten Infektionen verzeichnete. Natanz ist spannend, weil eine seiner Kernfunktionen als Nuklearanlage die Anreicherung von Uran ist. Während für Kernkraftwerke leicht angereichertes Uran benötigt wird, ist hochangereichertes Uran für den Bau einer Atombombe auf Uranbasis erforderlich. Während der Iran angibt, dass er Uran für den Einsatz in Kernkraftwerken anreichert, bestehen international Bedenken hinsichtlich des Ausmaßes der Anreicherung und dass der Iran versuchen könnte, eine Atomwaffe zu bauen.

Um Uran anzureichern, müssen drei Isotope getrennt werden: U234, U235 und U238. U238 kommt bei weitem am häufigsten in der Natur vor, eignet sich jedoch nicht für den Einsatz in der Kernenergie oder in Atomwaffen. Bei der aktuellen Methode wird eine Zentrifuge verwendet, bei der durch das Drehen die verschiedenen Isotope nach Gewicht getrennt werden. Der Prozess ist aus mehreren Gründen langsam und nimmt viel Zeit in Anspruch. Entscheidend ist, dass die verwendeten Zentrifugen sehr empfindlich sind. Die Zentrifugen in Natanz drehten mit 1064 Hz. Stuxnet ließ die Zentrifugen schneller und dann langsamer rotieren, bis zu 1410 Hz und dann wieder ab 2 Hz. Dies verursachte eine physische Belastung der Zentrifuge und führte zu einem katastrophalen mechanischen Versagen.

Dieses mechanische Versagen war die beabsichtigte Folge, mit dem mutmaßlichen Ziel, den Urananreicherungsprozess Irans zu verlangsamen oder zu stoppen. Damit ist Stuxnet das erste bekannte Beispiel einer Cyberwaffe, die zur Beeinträchtigung der Fähigkeiten eines Nationalstaats eingesetzt wird. Es war auch der erste Einsatz irgendeiner Form von Malware, der zur physischen Zerstörung von Hardware in der realen Welt führte.

Der eigentliche Prozess der Stuxnet-Infektion

Stuxnet wurde über einen USB-Stick in einen Computer eingeführt. Es nutzte einen Zero-Day-Exploit, um sich automatisch auszuführen, wenn es an einen Windows-Computer angeschlossen wurde. Als primäres Ziel wurde ein USB-Stick verwendet. Die Kernanlage Natanz hatte einen Luftspalt und war nicht mit dem Internet verbunden. Der USB-Stick wurde entweder in der Nähe der Einrichtung „abgeworfen“ und von einem ahnungslosen Mitarbeiter eingesteckt, oder er wurde von einem niederländischen Maulwurf in die Einrichtung eingeführt; Die Einzelheiten hierzu basieren auf unbestätigten Berichten.

Die Malware infizierte Windows-Computer beim Einstecken des USB-Sticks über eine Zero-Day-Sicherheitslücke. Diese Sicherheitslücke zielte auf den Prozess ab, der Symbole renderte und die Remotecodeausführung ermöglichte. Entscheidend ist, dass dieser Schritt über das Einstecken des USB-Sticks hinaus keine Benutzerinteraktion erforderte. Die Malware enthielt ein Rootkit, das es ihr ermöglichte, das Betriebssystem tiefgreifend zu infizieren und alles, einschließlich Tools wie Antivirenprogramme, zu manipulieren, um ihre Präsenz zu verbergen. Es konnte sich mithilfe eines Paares gestohlener Treibersignaturschlüssel installieren.

Tipp: Rootkits sind besonders böse Viren, die nur sehr schwer zu erkennen und zu entfernen sind. Sie sind in der Lage, das gesamte System, einschließlich der Antivirensoftware, so zu modifizieren, dass es erkannt wird.

Anschließend versuchte die Schadsoftware, sich über lokale Netzwerkprotokolle auf andere angeschlossene Geräte zu verbreiten. Einige Methoden nutzten zuvor bekannte Exploits. Allerdings nutzte man eine Zero-Day-Schwachstelle im Windows-Druckerfreigabetreiber aus.

Interessanterweise enthielt die Malware eine Prüfung, um die Infektion anderer Geräte zu deaktivieren, sobald das Gerät drei verschiedene Geräte infiziert hatte. Allerdings hatten diese Geräte selbst die Freiheit, jeweils drei weitere Geräte zu infizieren, und so weiter. Es beinhaltete auch eine Überprüfung, die die Malware am 24. Juni 2012 automatisch löschte.

Der eigentliche Prozess von Stuxnet – Ausbeutung

Nachdem es sich verbreitet hatte, überprüfte Stuxnet, ob das infizierte Gerät seine Ziele, die Zentrifugen, kontrollieren konnte. Siemens S7-SPS oder speicherprogrammierbare Steuerungen steuerten die Zentrifugen. Die SPS wurden wiederum mit der Software Siemens PCS 7, WinCC und STEP7 Industrial Control System (ICS) programmiert. Um das Risiko zu minimieren, dass die Malware dort gefunden wird, wo sie ihr Ziel nicht beeinträchtigen könnte, wenn sie keine der drei installierten Softwareteile finden könnte, bleibt sie inaktiv und tut nichts anderes.

Wenn ICS-Anwendungen installiert sind, infiziert es eine DLL-Datei. Dadurch kann gesteuert werden, welche Daten die Software an die SPS sendet. Gleichzeitig wird eine dritte Zero-Day-Schwachstelle in Form eines fest codierten Datenbankkennworts genutzt, um die Anwendung lokal zu steuern. Zusammengenommen ermöglicht dies der Malware, die Programmierung der SPS anzupassen und die Tatsache, dass sie dies getan hat, vor der ICS-Software zu verbergen. Es werden falsche Messwerte generiert, die darauf hinweisen, dass alles in Ordnung ist. Dies geschieht bei der Analyse der Programmierung, beim Verstecken der Malware und beim Melden der Spin-Geschwindigkeit, wodurch der tatsächliche Effekt ausgeblendet wird.

Das ICS infiziert dann nur Siemens S7-300-SPS, und selbst dann nur, wenn die SPS an einen Frequenzumrichter von einem von zwei Herstellern angeschlossen ist. Die infizierte SPS greift dann tatsächlich nur Systeme an, bei denen die Antriebsfrequenz zwischen 807 Hz und 1210 Hz liegt. Dies ist weitaus schneller als bei herkömmlichen Zentrifugen, aber typisch für Gaszentrifugen, die zur Urananreicherung verwendet werden. Die SPS erhält außerdem ein unabhängiges Rootkit, um zu verhindern, dass nicht infizierte Geräte die tatsächlichen Drehzahlen sehen.

Ergebnis

In der Anlage in Natanz wurden alle diese Anforderungen erfüllt, da die Zentrifugen bei 1064 Hz betrieben werden. Nach der Infektion beschleunigt die SPS die Zentrifuge 15 Minuten lang auf 1410 Hz, senkt sie dann auf 2 Hz und dreht sie dann wieder auf 1064 Hz hoch. Dies wurde über einen Monat lang wiederholt durchgeführt und führte zum Ausfall von rund tausend Zentrifugen im Werk in Natanz. Dies geschah, weil die Änderungen der Drehzahl die Aluminiumzentrifuge mechanisch belasteten, sodass sich Teile ausdehnten, miteinander in Kontakt kamen und mechanisch versagten.

Zwar gibt es Berichte über die Entsorgung von rund 1.000 Zentrifugen zu diesem Zeitpunkt, es gibt jedoch kaum oder gar keine Hinweise darauf, wie katastrophal der Ausfall sein würde. Der Verlust ist mechanisch und wird teilweise durch Spannung und Resonanzschwingungen verursacht. Der Fehler liegt auch an einem riesigen, schweren Gerät, das sich sehr schnell dreht, und war wahrscheinlich dramatisch. Darüber hinaus enthielt die Zentrifuge Uranhexafluoridgas, das giftig, ätzend und radioaktiv ist.

Aufzeichnungen zeigen, dass der Wurm seine Aufgabe zwar effektiv erfüllte, jedoch nicht zu 100 % wirksam war. Die Zahl der funktionsfähigen Zentrifugen im Iran sank von 4700 auf etwa 3900. Außerdem wurden sie alle relativ schnell ersetzt. Die Anlage in Natanz hat im Infektionsjahr 2010 mehr Uran angereichert als im Vorjahr.

Der Wurm war auch nicht so subtil wie erhofft. Frühe Berichte über zufällige mechanische Ausfälle von Zentrifugen erwiesen sich als unverdächtig, obwohl ein Vorläufer sie bei Stuxnet verursacht hatte. Stuxnet war aktiver und wurde von einer eingeschalteten Sicherheitsfirma identifiziert, weil Windows-Rechner gelegentlich abstürzten. Ein solches Verhalten tritt auf, wenn Speicher-Exploits nicht wie beabsichtigt funktionieren. Dies führte letztendlich zur Entdeckung von Stuxnet und nicht zu den gescheiterten Zentrifugen.

Namensnennung

Die Zuschreibung von Stuxnet ist von plausibler Leugnung umgeben. Es wird jedoch allgemein angenommen, dass die Schuldigen sowohl die USA als auch Israel sind. Beide Länder haben starke politische Differenzen mit dem Iran und lehnen seine Atomprogramme zutiefst ab, weil sie befürchten, dass das Land versucht, eine Atomwaffe zu entwickeln.

Der erste Hinweis für diese Zuschreibung ergibt sich aus der Natur von Stuxnet. Experten haben geschätzt, dass ein Team von 5 bis 30 Programmierern mindestens sechs Monate zum Schreiben benötigt hätte. Darüber hinaus nutzte Stuxnet vier Zero-Day-Schwachstellen aus, eine noch nie dagewesene Anzahl auf einmal. Der Code selbst war modular und leicht erweiterbar. Es zielte auf ein industrielles Steuerungssystem ab und dann auf ein nicht besonders verbreitetes.

Es wurde äußerst gezielt eingesetzt, um das Risiko einer Entdeckung zu minimieren. Darüber hinaus wurden gestohlene Fahrerzertifikate verwendet, die nur sehr schwer zugänglich gewesen wären. Diese Faktoren deuten auf eine äußerst fähige, motivierte und gut finanzierte Quelle hin, bei der es sich mit ziemlicher Sicherheit um eine nationalstaatliche APT handelt.

Spezifische Hinweise auf eine US-Beteiligung umfassen die Nutzung von Zero-Day-Schwachstellen, die zuvor der Equation-Gruppe zugeschrieben wurden, von der allgemein angenommen wird, dass sie Teil der NSA ist. Die Beteiligung Israels wird etwas weniger gut zugeschrieben, aber Unterschiede im Codierungsstil in verschiedenen Modulen deuten stark auf die Existenz von mindestens zwei beitragenden Parteien hin. Darüber hinaus gibt es mindestens zwei Zahlen, die, wenn sie in Daten umgewandelt würden, für Israel von politischer Bedeutung wären. Kurz vor dem Einsatz von Stuxnet passte Israel auch seinen geschätzten Zeitplan für den Bau einer iranischen Atomwaffe an und deutete damit an, dass man sich der drohenden Auswirkungen auf das angebliche Programm bewusst war.

Abschluss

Stuxnet war ein sich selbst verbreitender Wurm. Es war der erste Einsatz einer Cyberwaffe und der erste Fall einer Malware, die in der realen Welt Zerstörung anrichtete. Stuxnet wurde hauptsächlich gegen die iranische Atomanlage Natanz eingesetzt, um deren Fähigkeit zur Urananreicherung zu beeinträchtigen. Es nutzte vier Zero-Day-Schwachstellen aus und war äußerst komplex. Alle Anzeichen deuten darauf hin, dass es von einer nationalstaatlichen APT entwickelt wird, wobei der Verdacht auf die USA und Israel fällt.

Obwohl Stuxnet erfolgreich war, hatte es keine nennenswerten Auswirkungen auf den Urananreicherungsprozess im Iran. Es öffnete auch die Tür für den zukünftigen Einsatz von Cyberwaffen, um selbst in Friedenszeiten physischen Schaden anzurichten. Neben vielen anderen Faktoren trug es auch dazu bei, das politische, öffentliche und unternehmerische Bewusstsein für Cybersicherheit zu stärken. Stuxnet wurde im Zeitraum 2009–2010 eingesetzt