Skip to content

Stuxnet - Ein paar Fakten

Stuxnet ist ein sehr interessanter Schädling. Erstmals aufgefallen ist der Wurm im Juni, als er die Shortcut-Lücke in Windows zur Verbreitung ausnutzte. Sein Ziel: SCADA (Supervisory Control and Data Acquisition) Systeme zur Überwachung und Steuerung technischer Prozesse von Siemens. Und genau in denen hat er sich inzwischen häuslich eingerichtet.

Gezielter Angriff auf bestimmte Systeme

Laut Symantec kann der Wurm nicht nur Informationen ausspähen, sondern sich auch in Form eines Rootkits in die SCADA-Systeme einschleusen und diese manipulieren. Siemens hat den Wurm inzwischen ebenfalls genauer untersucht und hat festgestellt, dass der Wurm ganz bestimmte Systeme manipulieren kann. Welche, wurde nicht verraten. Der Wurm wurde zwar in verschiedenen Systemen gefunden (15 insgesamt mit Stand vom 17. September), nicht aber in solchen, auf die er es augenscheinlich abgesehen hat.

Eine genauere Analyse des Wurm gibt es von Langner Communications. Die größte Anzahl an infizierten Steuerungssysteme gibt es demnach im Iran, was auffallend mit früheren Aussagen von Kaspersky überein stimmt, denen zu Folge die erste Variante des Trojaners nur im Iran, Indien und Indonesien weit verbreitet war. Inzwischen gibt es neuere Zahlen von Kaspersky, die diese Informationen bestätigen.

Symantec hat die Command&Control-Server des Wurms identifiziert und leitet den Netzwerkverkehr für die betroffenen Domains auf eigene Server um. Dadurch kann der Wurm darüber nicht mehr von den Cyberkriminellen kontrolliert werden und Symantec bekommt nebenbei einen Überblick über die Verbreitung des Wurms. Auch dort sieht man die meisten Infektionen im Iran. Die Cyberkriminellen haben wahrscheinlich immer noch eine gewisse Kontrolle über den Wurm, da der ein eigenes Peer-to-Peer-Netz aufbaut und darüber Codeaktualisierungen austauscht.

Ein Wurm, vier 0-Day-Schwachstellen

Schon die Tatsache, das SCADA-Systeme angegriffen werden, und dann auch noch ganz bestimmte, weist auf einen besonders aufwändigen Schädling hin. Für diesen Angriff ist sehr spezifisches Fachwissen erforderlich. Außerdem haben die Entwickler auch noch gleich mehrere 0-Day-Schwachstellen verwendet. Außer der schon vom RPC-Wurm Conficker (was macht der eigentlich, um den ist es auch verdächtig ruhig geworden?) genutzten RPC-Schwachstelle wird eine 0-Day-Schwachstelle im Printspooler zur Verbreitung ausgenutzt (die Microsoft am September-Patchday behoben hat), außerdem werden zwei 0-Day-Schwachstellen zur Privilegieneskalation ausgenutzt, an deren Korrektur Microsoft zur Zeit arbeitet. Zusammen mit der Shortcut-Lücke macht das 4 0-Day-Schwachstellen auf einmal, was wohl ein Rekord sein dürfte.

Es gibt zwar Gerüchte, dass die 0-Day-Schwachstelle im Printspooler gar keine ist, sondern schon 2009 veröffentlicht wurde, Details und insbesondere eine Bestätigung fehlen aber noch. Aber auch mit 3 0-Day-Schwachstellen wäre Stuxnet noch Rekordverdächtig.

Ein Wurm, viel Entwicklungsaufwand

Symantec hat verschiedene Varianten des Wurms analysiert und verglichen und festgestellt, dass der Wurm seit Juni 2009 entwickelt wird. Die Nutzung der 0-Day-Schwachstellen ist erst in der letzten Version hinzugekommen, alle Varianten konnten aber schon SCADA-Systeme ausspähen und wohl auch manipulieren.

Sowohl Forscher von Symantec als auch von Kaspersky halten es einem Bericht auf NetworkWorld zu Folge für unwahrscheinlich, dass der Wurm privat entwickelt wurde. Für die Entwicklung ist sehr viel Spezialwissen erforderlich, für die Entwicklung der Manipulationsmöglichkeiten auch der Zugriff auf eine entsprechende Anlage. Trotzdem ist die Command&Control-Struktur ziemlich primitiv. Brian Krebs zitiert Joe Weiss von Applied Control Systems mit

"The mechanism [the Stuxnet worm] used to install the Siemens payload came at the very end, which means this isn’t a Siemens problem and that they could have substituted [General Electric], Rockwell or any other PLCs as the target system."

Fassen wir zusammen...

  • Der Wurm kann allgemein Daten ausspähen und ganz bestimmte Systeme auch manipulieren
  • Diese Systeme stehen sehr wahrscheinlich im Iran (da dort die meisten Infektionen, sowohl von SCADA-Systemen als auch allgemein, entdeckt wurden)
  • Auf allen bisher Siemens bekannt gewordenen infizierten Systemen hat der Wurm keinen Schaden angerichtet, das Zielsystem war aber auch nicht darunter
  • Die Entwicklung des Wurms war sehr aufwändig
  • Der Wurm kann an andere SCADA-Systeme angepasst werden

Das sollen genug Fakten sein, kommen wir nun zum eigentlichen Thema, den Spekulationen über die Herkunft und das Ziel des Wurms.

Carsten Eilers


Übersicht über alle Artikel zum Thema

Stuxnet - Ein paar Fakten
Standpunkt: Stuxnet - Wer will da wem an die Produktion?
Standpunkt: Stuxnet - Der erste Schritt zum Cyberwar?
Standpunkt: Stuxnet - Ein Überblick über die Entwicklung
Standpunkt: Stuxnet: Kaum neue Fakten, ein neues Gerücht
Standpunkt: Stuxnet - Stand der Dinge
Standpunkt: Der Wink mit dem Stuxnet
Standpunkt: Neues zu Stuxnet, Android-Trojanern, USB-Keyloggern und Facebook
Standpunkt: Conficker ist wieder da. Und was macht Stuxnet?
Das RAT, das aus dem Stuxnet kam
Standpunkt: Clickjacking gegen Flash, urchin.js und Duqu - nichts als Wiederholungen!
Standpunkt: Neues zu SSL und Duqu
Standpunkt: Wie gefährlich ist die Duqu-0-Day-Schwachstelle?
Standpunkt: Neues zu Duqu

Trackbacks

mipinio.com am : Stuxnet - Cyberangriff durch Computerwurm gegen den Iran

Vorschau anzeigen
Der iranische Kommunikationsminister hat heute bestätigt, dass rund 30 000 Computer von iranischen Industrieanlagen durch den Wurm Stuxnet infiziert wurden. Stuxnet ist ein Computerwurm, der sich einige Sicherheitslücken des Betriebssystems Windows zu nu

juckl! Social News am : Stuxnet Virus Attacke auf iranische Atomanlagen

Vorschau anzeigen
Stuxnet-Virus-Attacke auf Atomanlagen: Der iranische Kommunikationsminister hat best?tigt, dass rund 30 000 Computer von iranischen Industrieanlagen durch den Wurm Stuxnet infiziert wurden. Der Wurm mit Namen Stuxnet gilt Experten als neue Waffe im Cyber-Krieg. Stuxnet ist ein Computerwurm, der sich Sicherheitsl?cken im Betriebssystem Windows zu nutze macht und infizierte Rechner manipulieren kann. Stuxnet ist ein sehr interessanter Sch?dling.

Dipl.-Inform. Carsten Eilers am : Binary Planting - Welche Angriffe sind möglich und wie verhindert man sie?

Vorschau anzeigen
Welche Angriffe sind beim auch DLL Preloading genannten Binary Planting möglich und welche Gegenmaßnahmen gibt es für Entwickler und Anwender? Über Binary Planting kann ein Angreifer immer Schadcode in die Anwendung einschleus

Dipl.-Inform. Carsten Eilers am : Adobe, Microsoft, das BKA und HTML 5 als Objekt einer Nutzerbewertung

Vorschau anzeigen
Heute beginnt in Mainz die WebTech Conference, und da ich noch mit letzten Vorbereitungen für meinen Vortrag beschäftigt bin, es andererseits aber eigentlich einiges zu kommentieren gäbe, gibt es heute quasi eine "kommentierte Lin

Dipl.-Inform. Carsten Eilers am : 2010 - Ein Rückblick auf die 0-Day-Schwachstellen

Vorschau anzeigen
2010 war ein gerade aus Sicht der IT-Sicherheit ereignisreiches Jahr. So gab es sehr viele 0-Day-Schwachstellen. So viele, dass sie einen eigenen Text unabhängig vom restlichen Jahresrückblick verdient haben. Diesen hier. Mit dem In

Dipl.-Inform. Carsten Eilers am : 2010 - Ein Rückblick auf ein ereignisreiches Jahr

Vorschau anzeigen
2010 war ein gerade aus Sicht der IT-Sicherheit ereignisreiches Jahr. 2011 kann es gerne ruhiger zugehen, aber vermutlich gilt wie immer die Regel von Bernd dem Brot: "Alles ist wie immer, nur schlimmer! Einige Beispiele: So hat z.B. das Bund

Dipl.-Inform. Carsten Eilers am : USB-Würmer - Gute und schlechte Nachrichten

Vorschau anzeigen
Würmer, die sich über USB-Sticks verbreiten, sind ein Dauerproblem. Zumindest für Windows gehört in den Satz demnächst ein "gewesen" hinter das "Dauerproblem", sofern man sich auf die Würmer beschränkt, die sich &u

Dipl.-Inform. Carsten Eilers am : Vom Cyberwar zum Krieg?

Vorschau anzeigen
Man sollte der US-Regierung mal zwei alte Sprichwörter erklären: "Wer im Glashaus sitzt, sollte nicht mit Steinen werfen" (und mit Bomben erst recht nicht) und "Wer anderen eine Grube gräbt, fällt selbst hinein". Vielleicht &uuml

Dipl.-Inform. Carsten Eilers am : Ein "Standpunkt" in eigener Sache

Vorschau anzeigen
Die ist der letzte "Standpunkt" dieses Jahres - nächste Woche ist Weihnachten, und damit ist das Jahr 2011 auch schon fast "gelaufen". Ich hoffe, es wird ein ruhiger Jahresausklang, ich will die Zeit "zwischen den Jahren" nämlich nutzen un

Dipl.-Inform. Carsten Eilers am : Ein weiterer bekannter Advanced Persistent Threat: Stuxnet

Vorschau anzeigen
Sie haben bereits erfahren, was ein Advanced Persistent Threat (APT) ist, und mit der Operation Aurora haben Sie bereits den Angriff kennen gelernt, der den Begriff bekannt gemacht hat. In dieser Folge geht es um einen weiteren bekannten APT-Ang

Dipl.-Inform. Carsten Eilers am : Apple geg. Kaspersky, Angreifer geg. PHP, Irgendwer geg. den Iran, und mehr

Vorschau anzeigen
Heute gibt es mal wieder eine bunte Mischung an Kommentaren: Apple erlaubt keine Virenscanner im App-Store, es gibt Angriffe auf die PHP-CGI-Schwachstelle, Yahoo! veröffentlicht einen privaten Schlüssel, eine Verbesserung für TLS soll

Dipl.-Inform. Carsten Eilers am : Noch einige Infos zu Flame, und dann auf zur #ipc12

Vorschau anzeigen
Da ich das Wochenende mit letzten Vorbereitungen für die International PHP Conference 2012, Spring Edition verbringe, um Montag früh nach Berlin zu fahren, gibt es diesmal statt des "Standpunkts" nur Werbung für die Konferenz und einig

Dipl.-Inform. Carsten Eilers am : Der Trojaner Mahdi/Madi - Cybercrime oder Cyberwar?

Vorschau anzeigen
Es gibt mal wieder einen neuen Schädling, der Teil einer Cyberwar-Aktion sein könnte: Mahdi bzw. Madi wurde im Nahen Osten entdeckt und weist einige Besonderheiten auf. Nichts genaues weiß man nicht Der Schädling wird

Dipl.-Inform. Carsten Eilers am : Gauss - Ein staatlicher Onlinebanking-Trojaner?

Vorschau anzeigen
Kaspersky hat mal wieder einen neuen Schädling entdeckt, der mit Stuxnet und Co. verbunden ist, in diesem Fall mit Flame. Diesmal weicht aber einiges vom bekannten Muster ab. Anders und doch gleich Der Onlinebanking-Trojaner Gaus

Dipl.-Inform. Carsten Eilers am : SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2010

Vorschau anzeigen
2010 war für SCADA-Systeme und Industriesteuerungen ein ereignisreiches Jahr: Erst wurden sie von Stuxnet angegriffen, und dann erregten sie auch noch die Aufmerksamkeit der Sicherheitsforscher. Dabei wollten sie doch nur in Ruhe gelassen und

Dipl.-Inform. Carsten Eilers am : Transitive Trojanische Pferde wie XcodeGhost als neue Gefahr?

Vorschau anzeigen
XcodeGhost ist eigentlich ein altbekannter Angriffsweg, aber ein sehr seltener. Das Stichwort dazu ist "transitives Trojanisches Pferd". Transitive Trojanische Pferde in der Theorie Schadsoftware, die Entwicklungsumgebungen infiziert, ist