Stuxnet - Ein paar Fakten
Stuxnet ist ein sehr interessanter Schädling. Erstmals aufgefallen ist der Wurm im Juni, als er die Shortcut-Lücke in Windows zur Verbreitung ausnutzte. Sein Ziel: SCADA (Supervisory Control and Data Acquisition) Systeme zur Überwachung und Steuerung technischer Prozesse von Siemens. Und genau in denen hat er sich inzwischen häuslich eingerichtet.
Gezielter Angriff auf bestimmte Systeme
Laut Symantec kann der Wurm nicht nur Informationen ausspähen, sondern sich auch in Form eines Rootkits in die SCADA-Systeme einschleusen und diese manipulieren. Siemens hat den Wurm inzwischen ebenfalls genauer untersucht und hat festgestellt, dass der Wurm ganz bestimmte Systeme manipulieren kann. Welche, wurde nicht verraten. Der Wurm wurde zwar in verschiedenen Systemen gefunden (15 insgesamt mit Stand vom 17. September), nicht aber in solchen, auf die er es augenscheinlich abgesehen hat.
Eine genauere Analyse des Wurm gibt es von Langner Communications. Die größte Anzahl an infizierten Steuerungssysteme gibt es demnach im Iran, was auffallend mit früheren Aussagen von Kaspersky überein stimmt, denen zu Folge die erste Variante des Trojaners nur im Iran, Indien und Indonesien weit verbreitet war. Inzwischen gibt es neuere Zahlen von Kaspersky, die diese Informationen bestätigen.
Symantec hat die Command&Control-Server des Wurms identifiziert und leitet den Netzwerkverkehr für die betroffenen Domains auf eigene Server um. Dadurch kann der Wurm darüber nicht mehr von den Cyberkriminellen kontrolliert werden und Symantec bekommt nebenbei einen Überblick über die Verbreitung des Wurms. Auch dort sieht man die meisten Infektionen im Iran. Die Cyberkriminellen haben wahrscheinlich immer noch eine gewisse Kontrolle über den Wurm, da der ein eigenes Peer-to-Peer-Netz aufbaut und darüber Codeaktualisierungen austauscht.
Ein Wurm, vier 0-Day-Schwachstellen
Schon die Tatsache, das SCADA-Systeme angegriffen werden, und dann auch noch ganz bestimmte, weist auf einen besonders aufwändigen Schädling hin. Für diesen Angriff ist sehr spezifisches Fachwissen erforderlich. Außerdem haben die Entwickler auch noch gleich mehrere 0-Day-Schwachstellen verwendet. Außer der schon vom RPC-Wurm Conficker (was macht der eigentlich, um den ist es auch verdächtig ruhig geworden?) genutzten RPC-Schwachstelle wird eine 0-Day-Schwachstelle im Printspooler zur Verbreitung ausgenutzt (die Microsoft am September-Patchday behoben hat), außerdem werden zwei 0-Day-Schwachstellen zur Privilegieneskalation ausgenutzt, an deren Korrektur Microsoft zur Zeit arbeitet. Zusammen mit der Shortcut-Lücke macht das 4 0-Day-Schwachstellen auf einmal, was wohl ein Rekord sein dürfte.
Es gibt zwar Gerüchte, dass die 0-Day-Schwachstelle im Printspooler gar keine ist, sondern schon 2009 veröffentlicht wurde, Details und insbesondere eine Bestätigung fehlen aber noch. Aber auch mit 3 0-Day-Schwachstellen wäre Stuxnet noch Rekordverdächtig.
Ein Wurm, viel Entwicklungsaufwand
Symantec hat verschiedene Varianten des Wurms analysiert und verglichen und festgestellt, dass der Wurm seit Juni 2009 entwickelt wird. Die Nutzung der 0-Day-Schwachstellen ist erst in der letzten Version hinzugekommen, alle Varianten konnten aber schon SCADA-Systeme ausspähen und wohl auch manipulieren.
Sowohl Forscher von Symantec als auch von Kaspersky halten es einem Bericht auf NetworkWorld zu Folge für unwahrscheinlich, dass der Wurm privat entwickelt wurde. Für die Entwicklung ist sehr viel Spezialwissen erforderlich, für die Entwicklung der Manipulationsmöglichkeiten auch der Zugriff auf eine entsprechende Anlage. Trotzdem ist die Command&Control-Struktur ziemlich primitiv. Brian Krebs zitiert Joe Weiss von Applied Control Systems mit
"The mechanism [the Stuxnet worm] used to install the Siemens payload came at the very end, which means this isn’t a Siemens problem and that they could have substituted [General Electric], Rockwell or any other PLCs as the target system."
Fassen wir zusammen...
- Der Wurm kann allgemein Daten ausspähen und ganz bestimmte Systeme auch manipulieren
- Diese Systeme stehen sehr wahrscheinlich im Iran (da dort die meisten Infektionen, sowohl von SCADA-Systemen als auch allgemein, entdeckt wurden)
- Auf allen bisher Siemens bekannt gewordenen infizierten Systemen hat der Wurm keinen Schaden angerichtet, das Zielsystem war aber auch nicht darunter
- Die Entwicklung des Wurms war sehr aufwändig
- Der Wurm kann an andere SCADA-Systeme angepasst werden
Das sollen genug Fakten sein, kommen wir nun zum eigentlichen Thema, den Spekulationen über die Herkunft und das Ziel des Wurms.
Übersicht über alle Artikel zum Thema
- Stuxnet - Ein paar Fakten
- Standpunkt: Stuxnet - Wer will da wem an die Produktion?
- Standpunkt: Stuxnet - Der erste Schritt zum Cyberwar?
- Standpunkt: Stuxnet - Ein Überblick über die Entwicklung
- Standpunkt: Stuxnet: Kaum neue Fakten, ein neues Gerücht
- Standpunkt: Stuxnet - Stand der Dinge
- Standpunkt: Der Wink mit dem Stuxnet
- Standpunkt: Neues zu Stuxnet, Android-Trojanern, USB-Keyloggern und Facebook
- Standpunkt: Conficker ist wieder da. Und was macht Stuxnet?
- Das RAT, das aus dem Stuxnet kam
- Standpunkt: Clickjacking gegen Flash, urchin.js und Duqu - nichts als Wiederholungen!
- Standpunkt: Neues zu SSL und Duqu
- Standpunkt: Wie gefährlich ist die Duqu-0-Day-Schwachstelle?
- Standpunkt: Neues zu Duqu
Trackbacks
mipinio.com am : Stuxnet - Cyberangriff durch Computerwurm gegen den Iran
Vorschau anzeigen
juckl! Social News am : Stuxnet Virus Attacke auf iranische Atomanlagen
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Binary Planting - Welche Angriffe sind möglich und wie verhindert man sie?
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Adobe, Microsoft, das BKA und HTML 5 als Objekt einer Nutzerbewertung
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : 2010 - Ein Rückblick auf die 0-Day-Schwachstellen
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : 2010 - Ein Rückblick auf ein ereignisreiches Jahr
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : USB-Würmer - Gute und schlechte Nachrichten
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Vom Cyberwar zum Krieg?
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Ein "Standpunkt" in eigener Sache
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Ein weiterer bekannter Advanced Persistent Threat: Stuxnet
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Apple geg. Kaspersky, Angreifer geg. PHP, Irgendwer geg. den Iran, und mehr
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Noch einige Infos zu Flame, und dann auf zur #ipc12
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Der Trojaner Mahdi/Madi - Cybercrime oder Cyberwar?
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Gauss - Ein staatlicher Onlinebanking-Trojaner?
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Kein 0-Day-Exploit für vBulletin, dafür ein neuer AutoCAD-Schädling und mehr
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2010
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Transitive Trojanische Pferde wie XcodeGhost als neue Gefahr?
Vorschau anzeigen