Skip to content

Ein weiterer bekannter Advanced Persistent Threat: Stuxnet

Sie haben bereits erfahren, was ein Advanced Persistent Threat (APT) ist, und mit der Operation Aurora haben Sie bereits den Angriff kennen gelernt, der den Begriff bekannt gemacht hat. In dieser Folge geht es um einen weiteren bekannten APT-Angriff, der aber oft nicht als solcher angesehen wird:

Stuxnet

Falls Sie jetzt denken "Stuxnet - das war doch Cyberwar!" haben sie vielleicht Recht. Aber ob Stuxnet ein Angriff in einem Cyberwar oder "nur" Sabotage oder was auch immer war, darüber können sich von mir aus gerne Rechtsanwälte oder Politiker streiten. Hier interessiert Stuxnet nur in seiner Eigenschaft als Schadsoftware und Angriff auf IT-Systeme. Und in der Hinsicht war es ein APT, wie Sie gleich noch erkennen werden.

Der Anfang: Ein Wurm namens Stuxnet

Erstmals aufgefallen ist Stuxnet, als bzw. weil er die von Microsoft am 2. August 2010 außer der Reihe gepatchte sog. "Shortcut-Lücke" ausnutzte.

Am 15. Juli 2010 gab es erste Berichte über eine mögliche neue 0-Day-Schwachstelle in Windows, die von einem sich über USB-Sticks verbreitenden Wurm ausgenutzt wurde. Die ersten Schädlinge wurden vom weißrussischen Antiviren-Hersteller VirusBlokAda am 17. Juni 2010 entdeckt. Das Besondere an diesem Wurm: Er wurde nicht wie damals sonst üblich über die AutoRun-Funktion installiert, sondern nutzte eine 0-Day-Schwachstelle beim Verarbeiten von Shortcuts (Verknüpfungen, .lnk-Dateien): Bei der Anzeige des dazugehörigen Icons, z.B. im Windows Explorer, startete ohne weiteres Zutun des Anwenders der Schadcode.

Update:
Am 24. Juni 2012 stellte die Routine zur Verbreitung über USB-Sticks, die die Shortcut-Schwachstelle ausnutzte, den Betrieb ein. Verantwortlich dafür war ein fest im Konfigurationscode des Wurms vorgegebener Parameter.
Ende des Updates

Im Visier: SCADA-Systeme

Installiert wurden zwei Treiber mit Rootkit-Eigenschaften, die beide mit einer gültigen digitalen Signatur der Realtek Semiconductor Corp. versehen waren. Ziel der Angriffe waren SCADA (Supervisory Control and Data Acquisition) Systeme zur Überwachung und Steuerung technischer Prozesse von Siemens. Der Wurm wurde z.B. von Sophos als W32/Stuxnet-B bezeichnet und konnte ein voll gepatchtes Windows-7-System infizieren.

Fakten und Vermutungen

Nach und nach kamen weitere Details ans Licht, teilweise bestätigt, teilweise nur als sehr wahrscheinliche Vermutungen. Fakt ist, dass Stuxnet gleich vier 0-Day-Schwachstellen ausnutzte und es auf sehr spezielle SCADA-Systeme abgesehen hatte. Eigentliches Ziel des Wurms waren nicht die angegriffenen Windows-Systeme, sondern die darüber kontrollierten SCADA-Systeme. Konkret hatte Stuxnet es auf die Steuerung bestimmter Frequenzwandler abgesehen, wie sie z.B. in Zentrifugen zur Urananreicherung eingesetzt werden. Die Frequenzwandler werden zur Steuerung von Motoren verwendet, wobei in diesem Fall die Frequenz zwischen 807 Hz und 1210 Hz liegen musste. Stuxnet änderte die Ausgangsfrequenzen der Wandler und damit die Drehzahl der gesteuerten Motoren für kurze Intervalle über einen Zeitraum von Monaten.

Das konkrete Ziel war anscheinend die iranische Urananreicherungsanlage in Natanz, die erfolgreich lahm gelegt wurde: Den Zentrifugen bekamen die Manipulationen gar nicht gut, und sie fielen reihenweise aus.

Einfallstor: 2 Vermutungen, keine Gewissheit

Wie Stuxnet in die Urananreicherungsanlage gelangt ist, war anfangs unklar. Im Februar 2011 aktualisierte Symantec sein Dossier zu Stuxnet. Demnach wurden fünf Organisationen angegriffen, über die Stuxnet dann in die iranischen Atomanlagen gelangen sollte. Von diesen fünf Organisationen aus, die alle Büros im Iran haben, infizierte Stuxnet dann insgesamt 12.000 Rechner. Die Angriffe fanden im Juni und Juli 2009 sowie im März, April und Mai 2010 statt, wobei drei Varianten (Juli 2009, März und April 2010) zum Einsatz kamen. Die Verbreitung bzw. Ausbreitung des Wurm wurde jeweils anschaulich mit Grafiken dokumentiert.

Ein Bild sagt bekanntlich mehr als 1.000 Worte, und Symantecs Grafiken sind sicher eindrucksvoll. Nur ob darin wirklich irgendwo auch ein Punkt für den Steuerrechner der Urananreicherungsanlage in Natanz steht, weiß man nicht mit Sicherheit. Vielleicht wurde dieser Rechner ja auch auf ganz anderem Weg infiziert? Anfang April 2012 gab es jedenfalls eine neue Erklärung, wie Stuxnet in die Urananreicherungsanlage gelangte: Laut ISSSource hat ein Mitarbeiter der Anlage im Auftrag des israelischen Auslandsgeheimdienstes Mossad den Wurm auf einem präparierten USB-Stick in die Anlage eingeschleust. Wenn das stimmt. wäre es natürlich kontraproduktiv, durch die Infizierung von fünf Organisationen unnötige Aufmerksamkeit auf den Wurm zu ziehen. Für diese Infektionen müsste also eine neue Erklärung gefunden werden.

Welche Variante stimmt, wissen nur die Betroffenen selbst, und die werden es uns kaum verraten. Für die Schlussfolgerungen ist das aber auch nebensächlich.

Stuxnet ist ein APT

Stuxnet zeigt alle Anzeichen eines Advanced Persistent Threats:

  • Nach einem gezielten Angriff (egal ob über fünf Organisationen oder einen Agenten)
  • unter Einsatz von gleich vier 0-Day-Schwachstellen
  • sind die Angreifer bis zum sie interessierenden System vorgedrungen, den Steuerrechner(n) der Uranzentrifugen,
  • die sie dann über einen längeren Zeitraum manipulierten.

Der einzige wirkliche Unterschied zur Operation Aurora: Statt Daten auszuspähen, wurden sie manipuliert, um die darüber gesteuerten Zentrifugen zu zerstören.

Auch in der nächsten Folge geht es noch einmal um einen weiteren bekannten APT: Den Angriff auf RSA zum Ausspähen der Seeds der SecurID-Token. Und danach gucken wir dann mal, ob und ggf. wie man diese Angriffe hätte verhindern können.

Carsten Eilers


Übersicht über alle Artikel zum Thema

Was ist ein Advanced Persistent Threat (APT)?
Ein bekannter Advanced Persistent Threat: Operation Aurora
Ein weiterer bekannter Advanced Persistent Threat: Stuxnet
Noch ein bekannter Advanced Persistent Threat: Der Angriff auf RSA
Kann man Advanced Persistent Threats erkennen?
Advanced Persistent Threats - Wo verrät sich der Angreifer?
Advanced Persistent Threats - So verrät sich der Angreifer!
Gezielte Angriffe und Advanced Persistent Threats
Advanced Persistent Threats gegen tibetische Aktivisten und mehr

Trackbacks

Dipl.-Inform. Carsten Eilers am : Flame? - Kein Grund zur Panik!

Vorschau anzeigen
Der neue Schädling "Flame" sorgt für Panik in den Medien, dabei besteht dafür eigentlich keinerlei Grund. Warum, erfahren Sie hier. Was ist an Flame so besonders? Flame ist... Im folgenden werde ich mich nach den "Questions an

Dipl.-Inform. Carsten Eilers am : 2013 - Das Jahr der 0-Day-Exploits?

Vorschau anzeigen
Wir haben gerade mal den 11. Februar und schon die x-te 0-Day-Schwachstelle. Wobei man sich über den Wert von x streiten kann. Aber selbst im günstigsten Fall ist der drei: Erst die 0-Day-Schwachstelle in Java und nun zwei im Flash Playe

Dipl.-Inform. Carsten Eilers am : Ist BadBIOS möglich? Teil 2: USB-Manipulationen

Vorschau anzeigen
In dieser Folge dreht sich weiter alles um die Frage, ob ein Super-Schädling wie es der von Dragos Ruiu beschriebene BadBIOS sein soll, möglich ist. Sprich, ob seine Funktionen so oder so ähnlich bereits irgendwo implementiert wu

Dipl.-Inform. Carsten Eilers am : SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2012

Vorschau anzeigen
Und weiter geht es mit den auf den Sicherheitskonferenzen "Black Hat" und "Hack in the Box" gehaltenen Vorträgen zu SCADA-Systemen und Industriesteuerungen. Nach den Konferenzen in den Jahren 2010/2011 und 2011 ist nun das Jahr 2012 an der R

Dipl.-Inform. Carsten Eilers am : Angriffe über Geräte, die angeblich nur etwas Strom über USB möchten

Vorschau anzeigen
Angeblich wurde die erste E-Zigarette entdeckt, die beim Laden über USB Schadsoftware installiert. Ob das wirklich stimmt, ist nicht sicher. Möglich ist es aber auf jeden Fall. Und eine E-Zigarette ist nur einer von vielen mögl

Dipl.-Inform. Carsten Eilers am : USB-Sicherheit - Ein Überblick

Vorschau anzeigen
2014 wurden mit BadUSB und der angeblich beim Laden über USB den Strom spendenden Rechner mit Schadsoftware infizierenden E-Zigarette zwei neue kritische Angriffe auf/über USB gemeldet. Das schreit nach einem Überblick über di

Dipl.-Inform. Carsten Eilers am : Die "Equation Group", Carbanak, JASBUG - Namen sind in!

Vorschau anzeigen
Es gibt neue Angriffe und Schwachstellen mit mehr oder weniger schönen Namen: Die "Equation Group", den Schädling Carbanak, und den JASBUG. Mit dem sich seine Entdecker gerne ein Denkmal setzen würden. Die "Equation Group" - Cyberk

Dipl.-Inform. Carsten Eilers am : Drucksache: Windows Developer 12.15 - Windows 10: Sicherheit für Entwickler

Vorschau anzeigen
Im windows.developer 12.15 ist ein Artikel über die für Entwickler relevanten Sicherheitsfunktionen von Windows 10 erschienen. Die Neuigkeiten, die Windows 10 im Bereich Sicherheit zu bieten hat, wurden bereits allgemein im windo

Dipl.-Inform. Carsten Eilers am : USB-Sicherheit 2015: Ein 0-Day-Exploit für Windows - auf USB-Sticks

Vorschau anzeigen
Die letzte Schwachstelle, die ich im Rahmen dieser kleinen Serie zu Schwachstellen in und Angriffen auf bzw. über USB vorstellen möchte, habe ich bereits hier im Blog behandelt. Es geht um die "Mount Manager Elevation of Privilege Vulnera