Stuxnet ist ein Computerschädling (Wurm oder Trojaner), der gemäss Angaben von Symantec im Januar 2010 den ersten Computer infiziert hatte, aber erst im Juni 2010 von VirusBlokAda in Weissrussland entdeckt wurde. Beim entdeckten Trojaner handelte es sich bereits um eine neuere Variante: Symantec ist in Besitz einer älteren Version, die offensichtlich im Juni 2009 erstellt wurde, sich jedoch nicht gravierend von der neueren Version unterscheidet. Ob die ältere Variante auch wirklich zum Einsatz kam, ist unklar (Quelle: Robert McMillan, “Stuxnet Industrial Worm Was Written Over a Year Ago“, PCWorld, 04.08.2010). Stuxnet infiziert alle möglichen Versionen von Microsoft Windows (von uralt bis zu Windows 7), wobei er mit seinem Rootkit gezielt industrielle Steuerungssysteme von Siemens (SIMATIC S7-300 Serie und SIMATIC S7-400 Serie) angreift, die beispielsweise in chemischen Fabrikationsanlagen, Kraftwerken usw. zum Einsatz kommen. Stuxnet versucht den Code des Steuerungssystems sowie weitere Informationen zur Anlage herunterzuladen und verändert die Programmierung des Programmable Logic Controllers (PLC). Wenn ihm das gelingt, kann Stuxnet die Funktionsweise der Anlage manipulieren. Ob er damit auch falsche Anzeigen auf der Benutzeroberfläche WinCC generieren und so die Steuerung der Anlagen durch das Bedienpersonal stören bzw. verunmöglichen kann, ist momentan noch unklar (Quelle: Frank Rieger, “Der digitale Erstschlag ist erfolgt“, FAZ, 22.09.2010). Damit ist Stuxnet der erste öffentlich bekannte Computerschädling, welcher einen PLC infiziert. Gemäss Analyse von Symantec handelt es sich bei den Programmierern um gut ausgebildete und ausgestattete Experten. Stuxnet nutzt vier brandneue, unpublizierte Sicherheitslücken (Zero Day Exploit) bei Windows aus, was bis dahin noch nie von einem Schädling geschafft wurde. Unter anderem nutzt der Trojaner eine Sicherheitslücke des Printer-Spoolers, um sich von einer Windows-Maschine zur anderen zu kopieren. Ausserdem verbreitet sich der Trojaner über entfernbare Datenträger. Ein .lnk-File auf dem Datenträger verweist auf eine Kopie des Trojaners auf dem selben Datenträger. Wenn dieser Datenträger nun an einen Computer angeschlossen wird und eine Applikation (beispielsweise Windows Explorer) das Icon des Datenträger anzeigt, wird durch einen Konstruktionsfehler in Windows das .lnk-File unbemerkt den Trojaner starten. Ähnlich verhält sich Stuxnet auch, wenn er sich auf einem freigegebenen Netzlaufwerk oder auf WebDAV befindet und dieses angezeigt wird. Nicht einmalig, aber trotzdem bemerkenswert ist, dass Stuxnet im benutzten Rootkit die (gestohlene) Signaturen der beiden taiwanischen Chiphersteller Realtek und JMicron verwendet.
The malware originally distributed with this flaw is not a big concern unless you run a nuclear power plant and Homer Simpson is using Windows and clicking whatever he pleases (D’oh!). — Chester Wisniewski, “Windows zero-day attack works on all Windows systems“, Sophos, 16.07.2010.
Bei Stuxnet sind zwei eigentlich gegensätzliche Absichten erkennbar: Einerseits ist der Trojaner so konzipiert, dass er durch Ausnutzung von Schwachstellen maximal verbreitet wird, andererseits kopiert er sein Rootkit nur auf sehr spezifische Steuerungssysteme von Siemens. Der Angreifer scheint sicherstellen zu wollen, dass die Zielanlage mit höchster Wahrscheinlichkeit infiziert wird, aber gleichzeitig ausschliessen, dass der PLC anders gesteuerter Anlagen angegriffen wird. Gemäss Frank Rieger, vom Chaos Computer Club würden 
die Angreifer über hochpräzise Informationen zum Aufbau der Anlage und der darin verwendeten Software verfügen. Ohne exakte Kenntnisse der Konstruktionsdetails und der Art des Zusammenwirkens der einzelnen Komponenten der Steuerungssysteme von Siemens sei ein Angriff dieser Präzision unmöglich. Die Entwicklung sowie der Ankauf der notwendigen Angriffskomponenten in dieser Qualität und Zuverlässigkeit verursache Kosten im siebenstelligen Euro-Bereich. Am stärksten betroffen von Stuxnet scheint der Iran zu sein, da in iranischen Industrieanlagen Siemens-Produkte bevorzugt eingesetzt werden (übrigens auch bei den Zensurmassnahmen). Am Samstag, 25.09.2010 bestätigte ein IT-Experte des iranischen Ministeriums für Bodenschätze, dass über 30’000 Computer infiziert seien. Für Rieger kommt als Angreifer nur ein Staat in Frage, der gezielt versucht die iranische Nuklearanlagen anzugreifen.
However, if someone proposed this type of attack a month ago, while we would have agreed it was theoretically possible, most would have dismissed such an attack as a movie-plot scenario. […] We know that the people behind this attack aren’t amateurs, but their final motive is unclear. — Patrick Fitzgerald, “The Hackers Behind Stuxnet“, Symantec, 21.06.2010.
Bereits Ende April 2007 erfolgte nach estnisch-russischen Auseinandersetzungen mit dem Umgang russischer Kriegsdenkmäler ein grossangelegte Cyberangriff auf Estland, welcher hauptsächlich auf Distributed Denial of Service Attacken basierte. Die Attacken auf das Eidgenössisches Departement für auswärtige Angelegenheiten (EDA) im Oktober 2009, bei dem die Angreifer versuchten ins Netzwerk einzudringen und an Daten zu gelangen, war vergleichsweise eher harmlos: Als Gegenmassnahme schottete sich das EDA kurzzeitig vom Internet ab. Die Attacke auf das EDA hing vermutlich mit den schweizerisch-libyschen Spannungen zusammen. Der gezielte Angriff auf Steuerungssysteme ist jedoch eine absolut neue Dimension eines Cyberangriffs. In diesem Zusammenhang gibt die Verwundbarkeit der Netzwerkinfrastruktur des Eidgenössische Departements für Verteidigung, Bevölkerungsschutz und Sport (VBS) etwas zu denken: Gemäss eigenen Angaben ist die Schweizer Armee momentan nicht in der Lage, einen professionellen Hacker-Angriff auf der eigenen Infrastruktur zu detektieren und eine adäquate, zeitgerechte Reaktion darauf auszulösen (Quelle: Daniel Möckli, “Cyberwar: Konzept, Stand und Grenzen“, CSS Analysen zur Sicherheitspolitik, Nr. 71, April 2010). Weltweit nimmt das Thema Cyberwarfare bei den Militärs an Wichtigkeit zu. Auch Korpskommandant André Blattmann, Chef der Armee sieht anfangs September 2010 den Cyberwarfare als “die aktuell gefährlichste Bedrohung” (Quelle: Korpskommandant André Blattmann, “Die Qualität unserer Soldaten erreichen Sie in keinem anderen Land“, Migros-Magazin, Ausgabe 36, 06.09.2010, p. 34-39.). Bereits 2005 schloss die Schweizer Armee eine zweijährige Konzeptstudie “Information Operations” ab. Darauf basierend sollte bis 2012 ein Verband “Informationsoperationen” mit 500-600 Spezialisten geschaffen werden. Wegen Unklarheiten im rechtlichen, doktrinalen und finanziellen Bereich wurde der Aufbau eines Armeestabsteils für “Operationelle Informationsführung” im Sommer 2007 zurückgestellt, was zu einer Verzögerung von mindestens 3 Jahren führte. Gemäss einem Gutachten über Rechtsgrundlagen für Computernetzwerkoperationen durch Dienststellen des VBS befindet sich im Zentrum Elektronische Operationen (ZEO ) der Führungsunterstützungsbasis der Armee derzeit zwei Bereiche, die sich mit dem Thema Cyberwar befassen. Einerseits soll die Armee ihre Systeme und Netze überwachen sowie gegebenenfalls Alarm auslösen können (Computer Network Defense; CND) andererseits soll die Armee befähigt werden, in einem Aktivdienst in fremde Netzwerken einzudringen und Informationen auszuspionieren (Computer Network Exploitation; CNE) sowie deren Integrität zu beeinträchtigen (Computer Network Attack; CNA) (Quelle: Daniel Möckli, “Cyberwar: Konzept, Stand und Grenzen“, CSS Analysen zur Sicherheitspolitik, Nr. 71, April 2010).
Bildverzeichnis
Oben links: An error is seen on a computer screen of Bushehr nuclear power plant's map in the Bushehr Port on the Persian Gulf, 1,000 kms south of Tehran, Iran on February 25, 2009. (UPI Photo/Mohammad Kheirkhah).
Mitte rechts: Im Juli 2009 wurden schwergewichtig iranische Computeranlagen von Stuxnet infiziert.
Weitere Informationen
- Srdjan Capkun, ETH-Informatik-Professor im Interview mit der NZZ: “Ein Warnschuss für das, was noch auf uns zukommt“, NZZ, 25.09.2010.
- Zusätzliche Details zum FAZ-Artikel: Frank Rieger, “stuxnet: targeting the iranian enrichment centrifuges in Natanz?“, Knowledge Brings Fear, 22.09.2010.
- Interessanter und detaillierter Audio-Podcast von Frank Rieger und Felix von Leitner zum Thema mit vielen Hintergrundinformationen: Alternativlos 5, 26.09.2010.
- Steckte Israel hinter Stuxnet? Jedenfalls ist dieser Artikel lesenswert: “Wary of naked force, Israel eyes cyberwar on Iran“, Reiters, 07.07.2009.
- Sicherheitssimulation: Nicht nur hat Siemens in ihren Steurungssystemen ein Default-Passwort einprogrammiert, sonder rät auch davon ab dieses zu ändern, da sonst die Funktion beeinträchtigt werden könnte.
Pingback: Sicherheitspolitische Veränderungen und Konsequenzen für die Schweizer Armee – Teil 1 | Offiziere.ch
Es gibt neue Details über den Stuxnet-Angriff: Symantec fand durch Analyse des Codes heraus, dass Stuxnet darauf ausgerichtet ist, die Steuerung der Frequenzumrichter zu manipulieren und so die Drehzahl eines Motors zu beeinflussen. Die Manipulation erfolgt nur dann, wenn die Umrichter mit einer Frequenz zwischen 807 und 1210 Hz arbeiten. Eine solch hohe Frequenz finden wir beispielsweise bei den Zentrifugen der Urananreicherung. Damit wird der industrielle Prozess sabotiert, für den der Motor eingesetzt wird (Quelle: Eric Chien, “Stuxnet: A Breakthrough“, Symantec, 12.11.2010). Die Hinweise, dass Stuxnet gezielt die Urananreicherungsanlage in Natanz sabotiert haben sollte, verdichten sich also.
Pingback: NATO Gipfel in Lissabon | Offiziere.ch
Pingback: 27C3 – Tag 1 – don’t lost the war | Offiziere.ch
Es gibt einige Hinweise, dass Stuxnet eine US-amerikanisch-israelische Gemeinschaftsarbeit gewesen sein könnte. Es ist klar, dass sich dazu niemand namentlich bekennt und deshalb sind solche Vermutungen, die auf anonyme Quellen beruhen, mit allergrösster Vorsicht aufzunehmen.
Experten, welche Stuxnet untersuchten, sind sich einig, dass zur Programmierung des Schadcodes fundamentale Kenntnisse über industrielle Steuerungssysteme von Siemens erforderlich waren. Anfangs 2008 arbeiteten das US Department of Homeland Security, das Idaho National Laboratory und Siemens zusammen, um Schwachstellen in PCS-7 Systemen zu identifizieren – Systeme, welche in der Urananreicherungsanlage in Natanz eine Schlüsselrolle spielen. Auch wenn diese Zusammenarbeit womöglich zum Schutz der eigenen Systeme gedacht war, konnte so wertvolles Know-How zur Programmierung von Stuxnet gewonnen werden. Einige der Schwachstellen wurden in einer Präsentation durch das Idaho National Laboratory und Siemens im Juli 2008 vorgestellt (die Präsentation verschwand vor kurzem von der Siemens-Website). Interessanterweise fällt die Zusammenarbeit auf den Zeitpunkt, bei dem gemäss einem Artikel der New York Times vom 10. Januar 2009 unter dem damaligen US-Präsidenten George W. Bush ein geheimes Programm zur Sabotage der Nuklearanlagen im Iran gestartet wurde. Damit sollte aber nicht nur der Iran an der Herstellung von Nuklearwaffen gehindert werden, sondern Israel vor einem militärischen Alleingang abgehalten werden.
Gemäss Avner Cohen verfügt Israel zum Testen von Stuxnet im Negev Nuclear Research Center, 13 Kilometer südöstlich von Dimona, über P-1 Zentrifugen, die auch in Natanz eingesetzt werden. Auch die USA verfügten über solche Zentrifugen (2003 von Libyen übernommen), hatten jedoch mit der Inbetriebnahme kein Erfolg. Gemäss anonymen Quellen aus Nachrichtendiensten und Militär werde in diesem israelischen nuklearen Forschungszentrum seit zwei (oder drei) Jahren an Stuxnet gearbeitet. Dabei hätten die USA mit ihrem Know-How über PCS-7 Anlagen und Israel mit ihren P-1 Zentrifugen zusammengearbeitet. Stuxnet hat sich als sehr effektiv erwiesen und gemäss Meir Dagan, Direktor des Mossads, verschob sich die mögliche Produktion einer iranischen Nuklearbombe auf 2015.
Durch die selektive Attacke der Zentrifugen in der Urananreicherungsanlage in Natanz stellt sich auch die Motivfrage. Insbesondere Israel, die USA und die arabischen Staaten fürchten die iranische Atombombe und haben deshalb ein Interesse an der Sabotage des iranischen Atomprograms. Von den notwendigen Fähigkeiten Stuxnet zu programmieren kommen aber nur die USA und Israel in Frage.
Quelle: William J. Broad, John Markoff and David E. Sanger, “Israel Tests on Worm Called Crucial in Iran Nuclear Delay“, The New York Times, 15.01.2010.
Kim Zetter, “Did a U.S. Government Lab Help Israel Develop Stuxnet?“, Wired, Threat Level, 17.01.2011 hat noch mehr Details zu der Suche von Schwachstellen in PCS-7 Systemen durch das US Department of Homeland Security, das Idaho National Laboratory und Siemens.
Pingback: Sessionsrückblick | Offiziere.ch
Die israelische Tageszeitung Haaretz berichtete, dass der bis zum 14. Februar 2011 amtierende Generalstabschef der Israelischen Streitkräfte, Gabi Ashkenazi bei seiner Abschlussfeier mit seinen Leistungen während seiner Amtszeit geprallt. Darunter lobte er die Bombardierung eines syrischen Nuklearreaktor und der Angriff auf die iranischen Nuklearanlagen mittels Stuxnet.
Pingback: Die arabische Revolution fordert Israel heraus | Offiziere.ch
Gut zu wissen:
Pingback: Israel hat den Krieg gegen Iran längst aufgenommen | Offiziere.ch
Pingback: Zurück an der Tastatur und 28C3 Vorbereitungen | Offiziere.ch
Pingback: 28C3 – Tag 1 – Behind enemy lines | Offiziere.ch
Pingback: Offiziere.ch
Pingback: Offiziere.ch
Gemäss einem sehr ausführlichen Artikel der New York Times war Stuxnet eine US-amerikanisch-israelische Gemeinschaftsarbeit. Initiiert wurde die Operation mit Namen “Olympic Games” unter dem ehemaligen US-Präsident George W. Bush. Die Operation wurde unter US-Präsident Barack Obama weitergeführt und weiterentwickelt. Getestet wurde Stuxnet auf P-1 Zentrifugen, welche von Muammar al-Gaddafi nach der Beendigung des libyschen Nuklearwaffenprograms 2003 an die USA überführt wurden. (Quelle: David E. Sanger, “Obama Order Sped Up Wave of Cyberattacks Against Iran“, The New York Times, 01.06.2012).