Ein weiterer bekannter Advanced Persistent Threat: Stuxnet
Sie haben bereits erfahren, was ein Advanced Persistent Threat (APT) ist, und mit der Operation Aurora haben Sie bereits den Angriff kennen gelernt, der den Begriff bekannt gemacht hat. In dieser Folge geht es um einen weiteren bekannten APT-Angriff, der aber oft nicht als solcher angesehen wird:
Stuxnet
Falls Sie jetzt denken "Stuxnet - das war doch Cyberwar!" haben sie vielleicht Recht. Aber ob Stuxnet ein Angriff in einem Cyberwar oder "nur" Sabotage oder was auch immer war, darüber können sich von mir aus gerne Rechtsanwälte oder Politiker streiten. Hier interessiert Stuxnet nur in seiner Eigenschaft als Schadsoftware und Angriff auf IT-Systeme. Und in der Hinsicht war es ein APT, wie Sie gleich noch erkennen werden.
Der Anfang: Ein Wurm namens Stuxnet
Erstmals aufgefallen ist Stuxnet, als bzw. weil er die von Microsoft am 2. August 2010 außer der Reihe gepatchte sog. "Shortcut-Lücke" ausnutzte.
Am 15. Juli 2010 gab es erste Berichte über eine mögliche neue 0-Day-Schwachstelle in Windows, die von einem sich über USB-Sticks verbreitenden Wurm ausgenutzt wurde. Die ersten Schädlinge wurden vom weißrussischen Antiviren-Hersteller VirusBlokAda am 17. Juni 2010 entdeckt. Das Besondere an diesem Wurm: Er wurde nicht wie damals sonst üblich über die AutoRun-Funktion installiert, sondern nutzte eine 0-Day-Schwachstelle beim Verarbeiten von Shortcuts (Verknüpfungen, .lnk-Dateien): Bei der Anzeige des dazugehörigen Icons, z.B. im Windows Explorer, startete ohne weiteres Zutun des Anwenders der Schadcode.
Update:Am 24. Juni 2012 stellte die Routine zur Verbreitung über USB-Sticks, die die Shortcut-Schwachstelle ausnutzte, den Betrieb ein. Verantwortlich dafür war ein fest im Konfigurationscode des Wurms vorgegebener Parameter.
Ende des Updates
Im Visier: SCADA-Systeme
Installiert wurden zwei Treiber mit Rootkit-Eigenschaften, die beide mit einer gültigen digitalen Signatur der Realtek Semiconductor Corp. versehen waren. Ziel der Angriffe waren SCADA (Supervisory Control and Data Acquisition) Systeme zur Überwachung und Steuerung technischer Prozesse von Siemens. Der Wurm wurde z.B. von Sophos als W32/Stuxnet-B bezeichnet und konnte ein voll gepatchtes Windows-7-System infizieren.
Fakten und Vermutungen
Nach und nach kamen weitere Details ans Licht, teilweise bestätigt, teilweise nur als sehr wahrscheinliche Vermutungen. Fakt ist, dass Stuxnet gleich vier 0-Day-Schwachstellen ausnutzte und es auf sehr spezielle SCADA-Systeme abgesehen hatte. Eigentliches Ziel des Wurms waren nicht die angegriffenen Windows-Systeme, sondern die darüber kontrollierten SCADA-Systeme. Konkret hatte Stuxnet es auf die Steuerung bestimmter Frequenzwandler abgesehen, wie sie z.B. in Zentrifugen zur Urananreicherung eingesetzt werden. Die Frequenzwandler werden zur Steuerung von Motoren verwendet, wobei in diesem Fall die Frequenz zwischen 807 Hz und 1210 Hz liegen musste. Stuxnet änderte die Ausgangsfrequenzen der Wandler und damit die Drehzahl der gesteuerten Motoren für kurze Intervalle über einen Zeitraum von Monaten.
Das konkrete Ziel war anscheinend die iranische Urananreicherungsanlage in Natanz, die erfolgreich lahm gelegt wurde: Den Zentrifugen bekamen die Manipulationen gar nicht gut, und sie fielen reihenweise aus.
Einfallstor: 2 Vermutungen, keine Gewissheit
Wie Stuxnet in die Urananreicherungsanlage gelangt ist, war anfangs unklar. Im Februar 2011 aktualisierte Symantec sein Dossier zu Stuxnet. Demnach wurden fünf Organisationen angegriffen, über die Stuxnet dann in die iranischen Atomanlagen gelangen sollte. Von diesen fünf Organisationen aus, die alle Büros im Iran haben, infizierte Stuxnet dann insgesamt 12.000 Rechner. Die Angriffe fanden im Juni und Juli 2009 sowie im März, April und Mai 2010 statt, wobei drei Varianten (Juli 2009, März und April 2010) zum Einsatz kamen. Die Verbreitung bzw. Ausbreitung des Wurm wurde jeweils anschaulich mit Grafiken dokumentiert.
Ein Bild sagt bekanntlich mehr als 1.000 Worte, und Symantecs Grafiken sind sicher eindrucksvoll. Nur ob darin wirklich irgendwo auch ein Punkt für den Steuerrechner der Urananreicherungsanlage in Natanz steht, weiß man nicht mit Sicherheit. Vielleicht wurde dieser Rechner ja auch auf ganz anderem Weg infiziert? Anfang April 2012 gab es jedenfalls eine neue Erklärung, wie Stuxnet in die Urananreicherungsanlage gelangte: Laut ISSSource hat ein Mitarbeiter der Anlage im Auftrag des israelischen Auslandsgeheimdienstes Mossad den Wurm auf einem präparierten USB-Stick in die Anlage eingeschleust. Wenn das stimmt. wäre es natürlich kontraproduktiv, durch die Infizierung von fünf Organisationen unnötige Aufmerksamkeit auf den Wurm zu ziehen. Für diese Infektionen müsste also eine neue Erklärung gefunden werden.
Welche Variante stimmt, wissen nur die Betroffenen selbst, und die werden es uns kaum verraten. Für die Schlussfolgerungen ist das aber auch nebensächlich.
Stuxnet ist ein APT
Stuxnet zeigt alle Anzeichen eines Advanced Persistent Threats:
- Nach einem gezielten Angriff (egal ob über fünf Organisationen oder einen Agenten)
- unter Einsatz von gleich vier 0-Day-Schwachstellen
- sind die Angreifer bis zum sie interessierenden System vorgedrungen, den Steuerrechner(n) der Uranzentrifugen,
- die sie dann über einen längeren Zeitraum manipulierten.
Der einzige wirkliche Unterschied zur Operation Aurora: Statt Daten auszuspähen, wurden sie manipuliert, um die darüber gesteuerten Zentrifugen zu zerstören.
Auch in der nächsten Folge geht es noch einmal um einen weiteren bekannten APT: Den Angriff auf RSA zum Ausspähen der Seeds der SecurID-Token. Und danach gucken wir dann mal, ob und ggf. wie man diese Angriffe hätte verhindern können.
Übersicht über alle Artikel zum Thema
- Was ist ein Advanced Persistent Threat (APT)?
- Ein bekannter Advanced Persistent Threat: Operation Aurora
- Ein weiterer bekannter Advanced Persistent Threat: Stuxnet
- Noch ein bekannter Advanced Persistent Threat: Der Angriff auf RSA
- Kann man Advanced Persistent Threats erkennen?
- Advanced Persistent Threats - Wo verrät sich der Angreifer?
- Advanced Persistent Threats - So verrät sich der Angreifer!
- Gezielte Angriffe und Advanced Persistent Threats
- Advanced Persistent Threats gegen tibetische Aktivisten und mehr
Trackbacks
Dipl.-Inform. Carsten Eilers am : Flame? - Kein Grund zur Panik!
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : 2013 - Das Jahr der 0-Day-Exploits?
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Ist BadBIOS möglich? Teil 2: USB-Manipulationen
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2012
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Angriffe über Geräte, die angeblich nur etwas Strom über USB möchten
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : USB-Sicherheit - Ein Überblick
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Die "Equation Group", Carbanak, JASBUG - Namen sind in!
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drucksache: Windows Developer 12.15 - Windows 10: Sicherheit für Entwickler
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : USB-Sicherheit 2015: Ein 0-Day-Exploit für Windows - auf USB-Sticks
Vorschau anzeigen