Stuxnet

 

Keyfacts:

  • entdeckt: Juni 2010
  • sicher aktiv seit: seit Nov. 2007, in Teilen seit 2005
  • letzte Neu-Infektion: August 2010
  • Verbreitung: Industrieanlagen im Iran, Indonesien, Indien, teilweise weitere Anlagen (Link)
  • Infektion und Replikation: evtl. modifizierter USB-Stick oder über direkte Modifikation von Hardware-Komponenten, Windows-Netzwerkumgebung
  • Hauptziel: Schadwirkung, Zerstörung von iranischen Uran-Anreicherunszentrifugen, vermultlich Bestandteil einer größeren Kampagne gegen den Iran
  • bestätigte Herkunft: Israel, USA, Unterstützung durch die Niederlande

Relevante Dokumente:

stuxnet_veteilung

Stuxnet war der erste vermutlich staatliche Einsatz einer Malware, der gezielt auf eine Schadwirkung ausgerichtet war. Stuxnet wird daher als „Targeted attack“ betrachtet, da die Malware mit den von ihr verwendeten Sicherheitslücken für eine spezifische Hardware-Konfiguration einer bestimmten Baureihe von Siemens-Industrie-Steuerungsgeräten (Step-7 SCADA) ausgerichtet gewesen ist. Darüber hinaus gelang es mit Stuxnet den als „Air gap“ bezeichneten Sicherheitsansatz der kompletten Trennung von wichtigen Systemen vom Internet mit Hilfe infinzierter USB-Sticks & Laptops zu überwinden, die vermutlich durch Personal in der Anlage mobil verwendet und damit als verborgener Austauschkanal eingesetzt wurden. Aktuelle Untersuchungen von SecureList (siehe Link auf Bericht) kommen zu dem Schluß, dass der initiale Eintrittsvektor nicht per USB-Infektion erfolgte, sondern indem gezielt Hardware der Zulieferer und Gerätehersteller modifziert wurden.

Für die gesamte Operation von Stuxnet (Einschleusen, Infizieren, Weiterverbreiten, Schadwirkung) wurden zwei gestohlene digitale Zertifikate sowie vier hochwertige Zero-Day-Exploits eingesetzt. Verbunden mit der Notwendigkeit hochrangiger Programmier- und Operations-Teams, dem vermutlichen Aufbau einer Test-Industrieanlage wird finanzielle und zeitliche Aufwand daher auf ein mehrjähriges Millionen-Dollar-Projekt geschätzt.

Eine abschließenden Analyse von Ralph Langner zufolge existierten zu Stuxnet (siehe „Dokumente“) zwei Versionen. Die zweite, eingesetzte Variante wurde dann öffentlich bekannt. Im Gegensatz zu dessen eher auffälligem Vorgehen (Modifikation der Steuerfrequenzen von Zentrifugen) griff die die erste Version von Stuxnet sehr viel umfangreicher in die komplexen Anreicherungskaskaden der Anlage in Natanz ein und übernahm dessen Kontrolle teilweise vollständig. Die Angreifer waren dabei sehr darauf bedacht durch sensible Eingriffe in die Druckverhältnisse der Anlage eine katastrophale Wirkung und die durch Kettenreaktionen mögliche Zerstörung der gesamten Anlage zu vermeiden. Warum einige Jahre später eine zweite, andere Variante der Sabotage gewählt wird ist unklar. Langner vermutet:

That may have been motivated by the fact that the overpressure attack was lethal just by accident, that it didn’t achieve anything, or – that somebody simply decided to check out something new and fresh (or because during the time some hardware and configuration changes made that necessary)

Einem Artikel in der NY Times vom 1.Juni 2012 zufolge (lokale Kopie) ist Stuxnet ein Teil des US-israelischen Programms „Olympic Games“, das bereits zur Amtszeit von G.W. Bush gestartet wurde und sich gegen das iranische Atomprogramm richtete. Das Programm war dabei eine Gemeinschaftsentwicklung der NSA und der „Unit 8200“ der israelischen Streitkräfte (Q: New York Times / lokale Kopie) und vermutlich selbst nur Bestandteil einer komplexen Kampagne gegen kritische Infrastukturen des Iran namens „Nitro Zeus“ (siehe weiter unten). Eine weiteres Interview in der Washington Post (lokale Kopie in obiger Dokumentenliste) bestätigt diese Informationen. Die Einschätzungen ob Stuxnet für die Angreifer erfolgreich gewesen ist unterscheiden sich stark. Angesichts der Analyse der ersten, lange unbekannte Form von Stunxet kommt Ralph Langner zu folgendem interessanten Schluss:

Whatever the hard-fact results of Stuxnet were at Ground Zero, apparently they were not viewed as disappointing failure by its creators. Otherwise it would be difficult to explain the fact that New York Times reporter David Sanger was able to find maybe five to ten high-ranking government officials who were eager to boast about the top secret operation and highlight its cleverness. (..) The fact is that any consequences of Stuxnet can less be seen in Iran’s uranium enrichment efforts than in military strategy. Stuxnet will not be remembered as a significant blow against the Iranian nuclear program. It will be remembered as the opening act of cyber warfare, especially when viewed in the context of the Duqu and Flame malware which is outside the scope of this paper. Offensive cyber warfare activities have become a higher priority for the US government than dealing with Iran’s nuclear program, and maybe for a good reason.

Interessant inst weiterhin der direkte Vergleich zwischen Stuxnet und dessen Tilded-Plattform mit der (später entdeckten) Flame Plattform.  Dabei fällt eine hohe Ähnlichkeit der Programmcode-Strukturierung auf, sowie die gemeinsame Verwendung zweier Zero-Day-Exploits. Code-Analysten vermuten daher, dass Flame zwar als eigenständige Linie, aber parallel zum Stuxnet-Team entwickelt wurde, wobei sich beide Teams einen gemeinsamen Kompetenz- und Ressourcenpool geteilt haben.

Neue Erkenntnisse (siehe Artikel „Stuxnet angeblich Teil eines größeren Angriffs auf kritische Infrastruktur des Iran“ und die umfassende Darstellung der New York Times „U.S. Had Cyberattack Plan if Iran Nuclear Dispute Led to Conflict“) legen den Schluss nahe, dass Stuxnet nur ein Teil einer größeren Kampagne war, dessen Ziel in der Infiltration kritischer Infrastrukturen des Iran war um diese notfalls unmittelbar abzuschalten. Dafür sollen über Jahre hinweg unzählige kritische Systeme versteckt infiziert und kontinuierlich aktualisiert worden sein. Zu dieser These passt die im Abschlussbericht von Ralph Langner skizzierte Entwicklung von Stuxnet, das Deployment der später entdeckten zweiten Version.  Dagegen spricht, dass es außer Stuxnet (dessen Funde in Natanz und Busher bestätigt wurden) keine weiteren Berichte über Infektionen iranischer Anlagen gegeben hat – die nach der Entdeckung von Stuxnet mit hoher Wahrscheinlichkeit durch den Iran geprüft wurden. Da ein möglicher weiterer Fund den Iran international aus völkerrechtlicher Sicht jedoch eine sehr starke Position verliehen hätte ist auch die Geheimhaltung weiterer Infektionen durch die iranische Regierung unwahrscheinlich. Neue, im September 2019 veröffentlichten Presseinformation (u.a. Yahoo News) zufolge, waren auch niederländische Spezialisten an der Entwicklung sowie dem Einschleusen des Schadcodes in der iranischen Anlage beteiligt.