In Berlin hat Microsoft im Zuge eines Vortrags auf dem Chaos Communication Congress (27c3) erstmals Einblicke in den Kampf gegen den Computerwurm Stuxnet gegeben. Der durch die Sabotage-Aktionen am iranischen Atomprogramm bekannt gewordene Schädling wurde von einem 20 bis 30-köpfigen Team der Forschungsabteilung des Softwarekonzerns analysiert und so die Angriffsweise auf Windows-Systeme durchleuchtet. In vier Tagen konnten die Forscher rund um den leitenden Ingenieur Bruce Dang sämtliche Sicherheitslücken identifizieren, wenngleich die Stopfung der Lecks wesentlich länger - bis Anfang Dezember - dauern sollte.
Überraschend Effizient
Laut Dang habe sich Stuxnet gleich über mehrere bekannte und nicht bekannte Lücken in diversen Windows-Versionen inklusive XP und Vista Zutritt zu einem anvisierten System verschafft. Auffällig sei dabei nicht nur wie viele Lecks des Computervirus parallel ausnutzte, sondern auch wie effizient er dabei vorging. So arbeitete die Schadsoftware auf den Testsystemen mit 100-prozentiger Zuverlässigkeit und ließ die Rechner kein einziges Mal abstürzen. Gleichzeitig erfolgte der Angriff breit gefächert und wurde genauso auf Eigenarten von neueren Betriebssystemen wie Windows 7 wie auf ältere Windows-Systeme abgestimmt. Eine derart ausgeklügelte Arbeitsweise habe man bisher noch bei keinem Schädling beobachten können. Der Experte zeigte sich von der Perfektion des Codes sichtlich beeindruckt und betonte, dass daran definitiv mehrere Entwickler gearbeitet hätten. Dies zeige sich auch an den unterschiedlichen Handschriften diverser Code-Teile.
Hartnäckig
In einem infizierten System tarnte und versteckte das Virus seine Aktionen mit Hilfe eines Rootkits. Neben der differenzierten Angriffsweise Stuxnets habe sich der Wurm auch als hoch infektiös erwiesen. So gelang es der Schadsoftware über eine Druckersicherheitslücke, auf die der Antivirenhersteller Kaspersky aufmerksam machte, sich im lokalen Netzwerk innerhalb kürzester Zeit selbstständig zu verbreiten. Die alternative Einspielung erfolgte per USB-Stick.
Kein Aufschluss über die Herkunft
Aus wessen Feder Stuxnet entsprang, wolle Microsoft nicht herausgefunden haben. Man habe sich auf etwa 30 bis 40 Prozent des Codes konzentriert, der zur Infektion von Windows-Systemen bestimmt war. Jenen Teil, der zur Manipulation von Industrieanlagen vorgesehen war, habe man nicht analysiert. Über die Herkunft wolle man nicht spekulieren, so Dang. Dies sei die Aufgabe anderer Institutionen, so der Microsoft-Mitarbeiter und spielte bei seinem Vortrag auf die Enthüllungsseite Wikileaks an.
Adventures in Analyzing Stuxnet from Morton Swimmer on Vimeo.
Wie berichtet, soll Stuxnet das iranische Atomprogramm massiv geschädigt haben. Jüngsten Meldungen nach könnten mit Hilfe der Cyber-Bombe allein rund 10 Prozent der Zentrifugen in der Urananreicherungsanlage in Natanz zerstört worden sein. Zudem hätte die Schadsoftware den Prozess zur Urananreicherung dauerhaft sabotiert. (zw)