Dipl.-Inform. Carsten Eilers

Um Conficker war es recht ruhig geworden. Das davon aufgebaute Botnet ist trotz seiner beachtlichen Größe nie groß in Erscheinung getreten. Das bislang letzte, was man über Conficker gehört hat, war eine DPA-Meldung im Juni 2011, der zu Folge eine von Ukrainern angeführte Gruppe von Cyberkriminellen verhaftet wurde, die für Conficker verantwortlich gemacht werden. Ob das zutrifft, ist schwer zu sagen, die Conficker Working Group hat im Januar 2011 einen Abschlussbericht veröffentlicht und ihre Arbeit mehr oder weniger eingestellt, und auch die Antiviren-Hersteller melden keine entsprechenden Erfolge. Höchstens im Gegenteil: Im Blog von Trend Micro berichtet Rik Ferguson, dass Kopfgelder für Cyberkriminelle meist wirkungslos verpuffen und nennt Conficker als ein Beispiel für einen Schädling, bei dem die ausgesetzte Belohnung bisher zu keinen wertvollen Hinweisen geführt hat. Wobei das natürlich nicht ausschließt, dass die Polizei die Urheber ohne externe Hilfe aufgespürt hat, so dass niemand Anspruch auf die Belohnung erheben kann.

Conficker - jetzt bei Aldi Australien im Angebot!

Egal ob die Urheber nun verhaftet wurden oder nicht, der Wurm Conficker ist wieder aufgetaucht: Paul Ducklin von Sophos berichtet, dass Aldi in Australien externe Kombi-Laufwerke verkauft hat, auf deren Festplatten sich eine ungenannte Schadsoftware befinden soll. Sophos konnte allerdings kein Laufwerk kaufen, da sie anscheinend bereits aus den Läden zurückgerufen waren. Über einen Threatpost-Artikel gelangt man zu einer Warnung des australischen CERT, AusCERT, der zu Folge es sich beim Schädling um Conficker handelt. Laut AusCERT ist der nicht besonders gefährlich, da er alt ist. Eine ziemlich trügerische Schlussfolgerung, wenn man die Verbreitungs-Statistiken der Conficker Working Group betrachtet.

Der Wurm muss während des Produktionsprozesses auf die Laufwerke gelangt sein, vermutlich beim Test der Platten oder beim Aufspielen der mitgelieferten Software. Da sich Conficker u.A. über die AutoRun-Funktion verbreitet, reicht es, wenn ein infiziertes Laufwerk z.B. mit dem Prüf-Rechner verbunden war und diesen infiziert hat. Der darauf laufende Wurm kopiert sich dann auf alle an den Prüf-Rechner angeschlossenen Laufwerke. Ebenso könnte der Wurm auf den Rechner gelangt sein, von dem aus die mitgelieferte Software installiert wird - dann eben mit Conficker als zusätzlicher Beigabe.

Entsprechende Infektionen gab es schon öfter, daher ist es eine gute Idee, neue Laufwerke, egal ob Festplatte, USB-Stick, Speicherkarte oder was auch immer, vor der ersten Nutzung neu zu formatieren. Ob man vorher nach Viren sucht, ist Geschmacksache. Ganz im Gegensatz zu neu gekauften Laufwerken, die mehr oder weniger nützliche Software mitbringen. Die vor der Nutzung der Software auf schädliche Inhalte zu prüfen, ist zwingend notwendig. So, wie man Obst und Gemüse vor dem Essen wäscht, muss man neue Software vor der Verwendung "waschen", um möglichen "Schmutz" in Form von Schadsoftware zu entfernen.

Stuxnet war erfolgreich

Auch um Stuxnet war es in letzter Zeit ziemlich ruhig, jetzt gibt es auf einmal eine ganze Reihe von Neuigkeiten. Hat da wer auf die Saure-Gurken-Zeit gewartet? Die fällt dieses Jahr wohl aus.

Zuerst hat Kim Zetter von Wired.com die Geschichte der Erforschung des Wurms sehr ausführlich beschrieben: "How Digital Detectives Deciphered Stuxnet, the Most Menacing Malware in History". Den Text könnte man auch mit "(Fast) Alles, was Sie über Stuxnet wissen wollen" überschreiben. Er beginnt mit der Beobachtung der IAEA-Inspekteure der iranischen Urananreicherungsanlagen, dass der Iran Anfang 2010 deutlich mehr Uran-Zentrifugen als eigentlich üblich ersetzt hat. Wieso, wurde vom Iran nicht angegeben, und die Inspekteure wussten damals noch nicht, dass im Juni 2009 ein Wurm auf die Urananreicherungsanlagen angesetzt worden war.

Angeblich war der Iran bisher nicht in der Lage, Stuxnet zu entfernen und die Urananreicherungsanlage wieder in Betrieb zu nehmen. Das wundert mich doch sehr. Sollte es dort keine einwandfreien System-Datenträger und Backups geben, die man nach dem Löschen aller Systeme neu installieren kann? Wenn man einen Wurm partout nicht los wird, ist die Erklärung meist ein Fehler bei der Säuberung: Wer ein System nach dem anderen säubert, wird nie damit fertig, da die bereits gesäuberten Systeme von den noch infizierten Systemen neu infiziert werden. Aber so einen Anfängerfehler wird man im Iran wohl kaum begehen. Sollte da etwa jemand einen winzig kleinen Rechner installiert haben, der bisher nicht bemerkt wurde und der laufend Stuxnet-Ableger ins Netz lädt? Oder arbeitet einer der mit der Reinigung der Systeme beauftragten Mitarbeiter für die Gegenseite und installiert den Wurm bei jeder Neuinstallation heimlich mit? Und alles, ohne dass es jemand merkt? Das ist doch ziemlich unwahrscheinlich, oder?

Die USA warnen vor Stuxnet!

Das US-amerikanische Department of Homeland Security warnt von Stuxnet-Varianten, die Industriesteuerungen angreifen könnten (PDF). Das ist eigentlich nicht gerade neu, und die Stuxnet-Warnung ist auch nur ein Punkt von vielen in der Übersicht über die Cybersecurity-Aktivitäten des DHS. Aber wieso muss ich bei der US-Warnung an Micky Maus und Wassereimer-tragende Besen denken?

Für die Anpassung von Stuxnet an andere Steuerungsanlagen ist einiges an Fachwissen nötig, so dass nicht mit einer Flut von Ablegern zu rechnen ist. Außerdem stellt sich die Frage "Wieso sollte jemand so einen Schädling entwickeln?", und dafür fallen mir nur drei mögliche Antworten ein:

1. Weil es geht und Spass macht.
   Normale Skriptkiddies sind mit der Anpassung deutlich überfordert, und wer das nötige Wissen hat, dürfte besseres mit seiner Zeit anzufangen wissen als einen SCADA-Wurm zu programmieren. Dann bleibt in dieser Kategorie nur der sprichwörtliche gefeuerte Admin, der sich rächen will, übrig.
2. Weil man damit Geld verdienen kann, wenn man die möglichen Opfer erpresst.
   Damit wären wir bei den üblichen Cyberkriminellen. Ob die sich auf so etwas einlassen? Bevor die Erpressung stattfinden kann, muss es erst mal eine Demonstration des Schädlings geben. Danach dürften die Urheber zu den weltweit meistgesuchten Personen gehören, und die möglichen Opfer werden ihre Systeme entsprechend schützen. Das klingt für mich nicht nach einem besonders attraktiven Geschäftsmodell.
3. Weil man damit Terror verbreiten und den Gegner treffen kann.
   Womit wie beim "Cyberwar" und "Cyberterror" und der meines Erachtens einzigen realistischen Bedrohung wären. Schöne Aussichten, nicht war? Und wer hat damit angefangen?

Vielleicht wäre es eine gute Idee, die Stuxnet-Schwachstellen endlich mal zu patchen (man beachte hier den letzten Absatz!), vielleicht sollte man die Sicherheit von SCADA-Systemen auch einfach erst mal ernst nehmen? Und wozu braucht man überhaupt Passwörter?

Aber eigentlich dürfte ja gar keine Gefahr bestehen. Kritische Systeme sind doch wohl nicht mit dem Internet verbunden? Oder etwa doch?

Carsten Eilers

Übersicht über alle Artikel zum Thema

Stuxnet - Ein paar Fakten

Standpunkt: Stuxnet - Wer will da wem an die Produktion?

Standpunkt: Stuxnet - Der erste Schritt zum Cyberwar?

Standpunkt: Stuxnet - Ein Überblick über die Entwicklung

Standpunkt: Stuxnet: Kaum neue Fakten, ein neues Gerücht

Standpunkt: Stuxnet - Stand der Dinge

Standpunkt: Der Wink mit dem Stuxnet

Standpunkt: Neues zu Stuxnet, Android-Trojanern, USB-Keyloggern und Facebook

Standpunkt: Conficker ist wieder da. Und was macht Stuxnet?

Das RAT, das aus dem Stuxnet kam

Standpunkt: Clickjacking gegen Flash, urchin.js und Duqu - nichts als Wiederholungen!

Standpunkt: Neues zu SSL und Duqu

Standpunkt: Wie gefährlich ist die Duqu-0-Day-Schwachstelle?

Standpunkt: Neues zu Duqu