Stuxnet: Definition, Beispiel und Prävention

Was ist Stuxnet?

Stuxnet ist ein äußerst leistungsfähiger und bösartiger Computerwurm, der erstmals im Jahr 2010 auftauchte. Er ist Berichten zufolge auch der größte und teuerste dieser Art von Schadsoftware. Er nutzte die bis dahin unbekannten Windows-Zero-Day-Schwachstellen aus, um Zielsysteme zu infizieren und sich auf andere Systeme zu verbreiten. Der Virus hatte es vor allem auf die Zentrifugen der iranischen Urananreicherungsanlagen abgesehen. Im Laufe der Zeit modifizierten die Cyberangreifer ihn jedoch und passten ihn so an, dass er auch andere Einrichtungen wie Kraftwerke und Gasleitungen angriff.

Zwar hat kein Land offiziell zugegeben, Stuxnet entwickelt zu haben, aber es wird allgemein angenommen, dass die USA und Israel den Wurm gemeinsam entwickelt haben. Stuxnet war der erste Virus, der die physische Zerstörung von infizierten Geräten bewirkte. Er legte das iranische Atomprogramm lahm, obwohl sich die Schadsoftware aufgrund ihres aggressiven Charakters versehentlich auch über die Grenzen der iranischen Atomanlagen hinaus verbreitete. An externen Geräten außerhalb der ursprünglichen Zielgebiete richtete er jedoch keinen großen Schaden an.

Ist Stuxnet ein Virus?

Nein, Stuxnet ist ein Computerwurm. Dies ist ein Schadprogramm mit der Fähigkeit sich selbst zu vervielfältigen, nachdem es initial ausgeführt wurde. Im Gegensatz zum Virus kann sich ein Wurm, ohne das Infizieren von fremden Dateien oder Bootsektoren, verbreiten.

Stuxnet ist die erste Schadsoftware, die Zielgeräte über USB-Laufwerke infiziert, außerdem konnte sich der Computerwurm selbst aktualisieren, indem es P2P-Kommunikation und Online-Verbindungen nutzte. Er nutzte eine gestohlene digitale Signatur, um das Rootkit zu installieren.

Wie funktioniert Stuxnet?

Stuxnet ist eine sehr ausgeklügelte Schadsoftware, die in die Privatsphäre eindringt. Sie ist jedoch auch sorgfältig so konzipiert, dass sie nur Ziele mit bestimmten Konfigurationen angreift und auf anderen Geräten nur minimalen Schaden anrichtet.

Da die angegriffenen Atomanlagen aus der Luft abgeschirmt und vom globalen Netzwerk isoliert waren, wurde Stuxnet höchstwahrscheinlich über USB-Sticks übertragen, die von Agenten in diese Anlagen getragen wurden.

Stuxnet ist eine komplexe Schadsoftware. Sie enthält Code für einen Man-in-the-Middle-Angriff, der Sensorsignale fälscht, damit sich ein betroffenes System nicht aufgrund eines abnormalen Verhaltens abschaltet. Er ist außerdem ungewöhnlich groß, in verschiedenen Programmiersprachen geschrieben und verbreitet sich schnell.

Stuxnet zielt auf drei Systemebenen ab:

• Windows OS
• Siemens PCS 7-, WinCC- und STEP7-Industriesoftwareanwendungen
• Siemens S7 speicherprogrammierbare Steuerung

Stuxnet infiltrierte Windows-Systeme, indem es verschiedene Zero-Day-Schwachstellen ausnutzte, wie z. B. die Remote-Code-Ausführung. Er nutzte die aktivierte Druckerfreigabe oder die LNK/PIF-Schwachstelle aus und führte die Datei aus, wenn sie im Windows Explorer angezeigt wurde.

Diese Schadsoftware greift sowohl auf die Benutzer- als auch auf die Kernel-Ebene zu. Seine Gerätetreiber sind mit zwei öffentlichen Zertifikaten signiert, sodass er ohne das Wissen der Benutzer auf die Kernel-Treiber zugreifen kann und lange Zeit unentdeckt bleibt.

Nachdem er in Windows-Systeme eingedrungen ist, infiziert Stuxnet Dateien, die zu industriellen Softwareanwendungen von Siemens gehören, und unterbricht deren Kommunikation. Außerdem verändert er den Code von SPS-Geräten.

Stuxnet installiert Schadsoftware-Blöcke in SPS-Monitoren. Dann ändert er ständig die Frequenz des Systems und beeinflusst den Betrieb von Motoren, indem er ihre Drehzahl verändert. Stuxnet enthält außerdem ein Rootkit, das den Wurm vor Überwachungssystemen verbirgt.

Wie hat sich Stuxnet verbreitet?

Stuxnet wurde 2010 identifiziert und gemeldet, obwohl es sich bereits seit 2005 in der Entwicklung befand. Stuxnet 0.5 [McD13] ist die erste bekannte Version von Stuxnet. Im Januar 2010 stellten Inspektoren, die die Urananreicherungsanlage in Natanz besuchten, fest, dass die Zentrifugen in einer noch nie dagewesenen Geschwindigkeit ausfielen. Die Ursache für den Ausfall konnten sie zu diesem Zeitpunkt nicht feststellen. Nach fünf Monaten fanden Experten bösartige Dateien in einem der Systeme.

Der Wurm begann sich im März 2010 zu verbreiten, aber die erste Variante erschien bereits 2009. Am 15. Juli 2010 wurde die Existenz des Wurms durch einen DDoS-Angriff auf eine Mailingliste für industrielle Sicherheitssysteme bekannt. Dieser Angriff unterbrach eine wichtige Informationsquelle für Fabriken und Kraftwerke.

Stuxnet verbreitete sich in zwei Wellen. Die erste Welle war weniger sichtbar und gezielter als die zweite. Stuxnet wurde der Öffentlichkeit während der zweiten Welle bekannt, die aggressiver und weiter verbreitet war. Dem Wurm gelang es, mehr als 20.000 Geräte in 14 iranischen Atomanlagen zu infizieren und rund 900 Zentrifugen zu zerstören.

Obwohl Stuxnet außerhalb seines Ziels keinen großen Schaden anrichtete, diente er als Beispiel für spätere Schadsoftware, die auf verschiedene Infrastrukturen und Staaten abzielte. Modifizierte Versionen zielen auch auf nicht-nukleare Einrichtungen ab.

Stuxnet-Nachfolger

Stuxnet hat die Entwicklung zukünftiger Schadsoftware maßgeblich beeinflusst. Hier sind ein paar Beispiele für die Nachfolger von Stuxnet:

Flame

Flame ist eine ausgeklügelte Spionagesoftware, die auch auf den Iran und andere Länder im Nahen Osten abzielt. Sie hatte es vor allem auf Bildungs- und Regierungseinrichtungen abgesehen. Flame protokollierte Tastatureingaben und zeichnete Skype-Gespräche auf, nachdem es Geräte über USB-Sticks infiltriert hatte.

Havex

Im Gegensatz zu Flame zielt Havex hauptsächlich auf westliche Länder ab, verfolgt aber ähnliche Absichten. Er spioniert Luftfahrt-, Verteidigungs-, Energie- und Pharmaunternehmen aus.

Duq

Duqu ist eine Sammlung von Schadsoftware, die ebenfalls Zero-Day-Schwachstellen in Windows ausnutzt. Sie ist Stuxnet sehr ähnlich und zielt ebenfalls auf Atomanlagen im Iran ab.

Industroyer

Industroyer ist eine Schadsoftware, mit der 2016 das Stromnetz der Ukraine angegriffen wurde. Durch den Angriff war ein Teil von Kiew eine Stunde lang ohne Strom.

Triton

Triton zielte auf eine petrochemische Anlage in Saudi-Arabien ab. Triton wird als eine der gefährlichsten Schadsoftwaren der Welt bezeichnet und kann zu einer Anlagenkatastrophe beitragen.

Wie kann man sich vor Stuxnet schützen?

Wie bereits erwähnt, stellt Stuxnet keine direkte Bedrohung für Einzelpersonen dar, daher hier ein paar Tipps für die Cybersicherheit von Unternehmen:

• Industrienetzwerke mit Firewalls von allgemeinen Unternehmensnetzwerken trennen, um die Verbreitung von Schadsoftware zu verhindern.
• Ein Anwendungs-Whitelisting verwenden, um das Netzwerk vor bösartigen Akteuren zu schützen.
• Das Netzwerk auf ungewöhnliche Aktivitäten überwachen.
• Strenge Richtlinien für Wechseldatenträger anwenden, um zu verhindern, dass fragwürdige USB-Geräte an Geräte angeschlossen werden.
• Host-Hardening praktizieren, indem man unnötige Dienste deaktiviert.