Stuxnet: Auf der Spur der unsichtbaren Superwaffe

10. Februar 2011, 17:56
87 Postings

Wie ein Virus Irans Atomprogramm sabotierte und weshalb ein neues Zeitalter der Kriegsführung angebrochen ist

Die Stimmung auf der 47. Münchner Sicherheitskonferenz Anfang Februar war gespannt. Alte und neue Krisenherde beherrschten die Themen der westlichen Außenpolitik, im Nahen Osten ist ein Umbruch im Gange. Doch vor allem hat sich nach Jahren der Warnungen und ersten Anzeichen das Bewusstsein über eine neue Art der Bedrohung breitgemacht. Zwar wurde nicht zum ersten Mal in der Geschichte ein erfolgreicher Angriff auf die Infrastruktur mittels Computerschädlingen nachgewiesen, doch die Sabotage der Nuklearanlagen im Iran über die vergangenen zwei Jahre stellen einen Paradigmenwechsel in der modernen Kriegsführung dar. Das in die Netzwerke des Atomreaktors in Bushehr und die Uran-Anreicherungsanlagen in Natanz eingeschleuste Computervirus "Stuxnet" hat gezeigt, welche verheerenden Wirkungen gezielte Cyber-Angriffe auf die Infrastruktur eines Landes haben können. Darf man den Experten Glauben schenken, ist es dabei lediglich die erste von noch vielen folgenden Cyber-Waffen.

Die erste Waffe ihrer Art

Stuxnet war in vieler Hinsicht eine besondere Entdeckung. In vorangegangenen, der Öffentlichkeit bekannt gewordenen Angriffsszenarien gingen Störungen der Kommunikationssysteme stets mit physischen Militärschlägen einher. Im September 2007 etwa sollen israelische Truppen im Zuge der "Operation Orchard" syrische Radarsysteme manipuliert und geblendet haben, um einen Luftangriff auf eine mutmaßliche Atomanlage ausüben zu können. Im Konflikt zwischen Russland und Georgien im Sommer 2008 begleiteten Hacker-Verbände auf russischer Seite die Militäroperation mit Überlastungsangriffen auf die Server diverser georgischer Webseiten und störten damit die Kommunikation des Landes.

Stuxnet operierte grundlegend anders. Die Aufgabe dieses Cyber-Agenten war es, sich in die Computersysteme iranischer Nuklearanlagen einzuschleusen und dort unbemerkt, seit 2009 Monate lang Produktionsprozesse zu stören. Das Ziel war offensichtlich: Zeit zu gewinnen und damit den von internationalen Staatengemeinschaften vermuteten iranischen Wunsch nach einer eigenen Atombombe in weite Ferne zu rücken.

Die Handschrift des Codes und seine Schöpfer

Allein das Motiv macht Experten sicher, das westliche Geheimdienste hinter dem Supervirus stecken müssen. Mitte Jänner meldete die New York Times unter Berufung auf Geheimdienst- und Militärexperten, die USA und Isreal hätten Stuxnet in Zusammenarbeit geboren. Den Verdacht auf eine staatliche Operation bekräftigen auch Computer-Forensiker spezialisierter Antiviren-Softwarehersteller. Eine Analyse des Viren-Codes verrate, so Ikarus-Geschäftsführer Josef Pichlmayr im Gespräch mit derStandard.at, dass gehöriger Aufwand zu dessen Erstellung betrieben wurde, der die Mittel und das Know-How üblicher Computerkrimineller bei Weitem übersteige. Stuxnet hat mit gewöhnlichen Internetwürmern, die auf möglichst viel Schaden oder Informationen von Privat- und Unternehmens-PCs aus sind, kaum etwas gemeinsam. Und während man bei üblichen Viren eher von Seuchen sprechen kann, gleicht Stuxnet mehr einem chirurgischen Eingriff.

Millionen schwerer Aufwand

Aus dem rund 15.000 Zeilen langen Code des Virus geht hervor, dass es sich hier aller Wahrscheinlichkeit nach um die Arbeit eines Geheimdienstes handelt. Um Geheimhaltung zu bewahren, dürften zumindest zwei Teams getrennt von einander an dem Code geschrieben haben. Dies ginge Pichlmayr zufolge aus Fragmenten hervor, die mit der Entwicklungssoftware Visual Studio 2005 erstellt wurden, während ein anderer Teil mit der neueren Version Visual Studio 2008 entstanden. "Das ließ schon damals die Vermutung aufkommen, dass es ein Geheimdienst war, wo jede Abteilung ein 'Bröckchen' macht und nur ganz wenige, die es dann zusammenbauen, den vollen Überblick über das gesamte System 'Stuxnet' haben", so der Experte.

Insider-Information

Nachdem die Angreifer nicht ein beliebiges Computersystem im Visier hatten, sondern ganz spezielle Steuerungsanlagen für Zentrifugen zur Urananreicherung, benötigte es zudem Spezialisten aus mehreren Fachkreisen. Während sich ein Team auf die Suche nach Schwachstellen im Betriebssystem Windows machte, kümmerte sich ein anderes Team um die Manipulation der anvisierten Simatic-Steuersoftware des Herstellers Siemens zur Justierung der Frequenzumformer, die in den iranischen Anlagen in Betrieb sind. Die reine Entwicklungszeit dürfte mindestens ein Jahr in Anspruch genommen haben, wobei die Beschaffung von Insider-Information sowie umfangreiche Tests die Kosten auf geschätzte 40 Millionen US-Dollar anschwellen lassen haben sollen. "Bei dem Aufwand und der Menge an involvierten Personen ist eine Geheimhaltung über einen derart langen Zeitraum (mindestens 3 Jahre) beinahe unmöglich – wenn nicht schon im Umfeld "Geheimhaltung" eine Grundvoraussetzung ist. Finanziell gehen die Schätzungen (ziemlich einstimmig) für die Entwicklung des Viruses und des Simatic-Schadteils von einem mittleren zweistelligen Millionenbetrag aus (ca. 40 Mio)", bekräftigt Pichlmayr.

Fataler Puppenspieler

Der fatale Code musste dann auf einem USB-Stick in die iranischen Nuklearanlagen eingeschleust worden sein. Über einen verdeckt arbeiteten Agenten oder einen bestochenen Techniker wurde Stuxnet wohl auf einem Windows-basierten Wartungscomputer übertragen, von wo aus sich das Virus selbstständig über das Netzwerk verbreiten konnte und schließlich die anvisierten Steuerungssysteme fand. Dort eingenistet, manipulierte der Schädling in unregelmäßigen Abständen von 13 Tagen bis zu drei Monaten die von den Umformern einzustellende Frequenz für die Zentrifugen, womit nicht nur die Urananreicherung erschwert, sondern auf Dauer auch die Mechanik gestört wurde.

Windows durchlöchert

Um all dies bewerkstelligen zu können, benötigte es zunächst genaueste Informationen über die Funktionsweise des Microsoft-Betriebssystems. Bemerkenswert dabei: Die Autoren missbrauchten insgesamt vier so genannte Zero-Day-Exploits – also Schwachstellen, deren Existenz erst bei der Analyse des Stuxnet-Viruses bekannt wurde – , um sich die Kontrolle über sämtliche eingesetzten 32-Bit-Windows-Versionen (von Win 2000 bis Win 7) verschaffen zu können. "Zero Day Exploits dieser Klasse sind am freien Markt sicherlich pro Stück 100.000 Euro und mehr wert und es ist unwahrscheinlich, dass die zufällig entdeckt worden sind", erläutert der Ikarus-Chef. "Eher wahrscheinlich ist, dass jemand die Crash-Reports von Windows (die Windows an Microsoft schickt) abgefangen oder gestohlen hat und diese analysierte." Jemand wusste daher so gut wie oder sogar besser als Microsoft selbst, welche Ursachen es für einen Windows-Absturz geben kann. Als Stuxnet entdeckt wurde, betreute der Softwarekonzern ein Team von 20 bis 30-Forschern damit die Angriffsweise auf Windows-Systeme zu durchleuchten. Vier Tage benötigten sie zur Identifikation sämtlicher Sicherheitslücken, die Stopfung der Lecks nahm Monate in Anspruch.

Eine Präzisionsbombe

Nach der Ausnutzung der Windows-Sicherheitslücken installierte Stuxnet ein Rootkit, was den Angreifern einen Fernzugriff ermöglichte, um Informationen abzurufen und die Angriffe zu verfeinern. Um dem Betriebssystem Authentizität vorzugaukeln, bedienten sie sich zweier gestohlener Zertifikate der taiwanischen Hardware-Hersteller Realtek und JMicron Technology. Zur Kontrolle der Siemens-Steuerungssoftware beinhaltet Stuxnet genaue Kenntnisse über das Prozessvisualisierungssystems WinCC und installierte in den Zentrifugen-Controllern ein weiteres Rootkit. Um die besagten Steuerungssysteme angreifen zu können, brauchte es laut Pichlmayr "definitiv Insider-Wissen über die Zielanlage". Unter anderem fand man im Code auch IP-Adressen aus dem Zielsystem, die nur internen Mitarbeitern zugänglich seien sollten.

Nichts dem Zufall überlassen

Bei der Operation "Stuxnet" wurde schlussendlich nichts dem Zufall überlassen. Speziell der Angriff auf die Simatic-Software der Zentrifugen-Steuerung erforderte gründliche Testvorgänge. Dafür musste "mindestens ein komplettes Testsystem" zur Verfügung stehen. Keine leichte Aufgabe, wenn man bedenkt, dass sensible Bauteile wie die Frequenzumrichter, die Frequenzen oberhalb von 600 Hz unterstützen (Anm.: zur Urananreicherung benötigt), exportgeschützt sind. Daher ist auch naheliegend, dass zum Test bestehende Infrastruktur genutzt wurde. Die New York Times meldete Mitte Jänner, dass Stuxnet zwei Jahre lang im streng abgeriegelten israelischen Dimona-Komplex in der Negev-Wüste getestet wurde, in dem sich eine israelische Atomanlage befinden soll. Dort wurden den Angaben zufolge Zentrifugen pakistanischer Herkunft errichtet, wie sie auch im Iran zum Einsatz kommen.

Angriff nach Plan, lange Zeit unentdeckt

Die Inspiration für die Stuxnet-Attacke dürften sich die Drahtzieher ironischer Weise von Siemens selbst geholt haben. Der deutsche Multi erstellte für die US-Regierung zusammen mit der Behörde Homeland Security 2008 einen Cyber-Security-Bericht, in dem man unter anderem exakt das beobachtete Angriffsszenario beschrieb. Rückblickend liest sich der Präventionsreport heute wie eine Anleitung für Cyber-Feldzüge.

Weshalb Stuxnet lange Zeit unentdeckt blieb, ist zum einen mit dem Wissen der Autoren über die Funktionsweise moderner Virenscanner zu begründen. Zum anderen stellten sie sicher, dass es zu möglichst wenigen Kollateralschäden außerhalb der Zielanlagen kommt. Die Entwickler haben "unglaublich gut gewusst, wie die Engine von Virenscanner 'Viren' erkennt", so Pichlmayr. Stuxnet enthält weder verschlüsselten, noch gepackten Code oder verschleiert sonst in irgendeiner Weise seine Vorgehensweise, was ihn für Viren-Scanner verdächtig gemacht hätte. Stuxnet "erscheint daher für einen AV-Scanner als vollkommen legitimes Programm".

Untypisch für Viren

Zudem wurde – untypisch für Viren – ein Mechanismus implementiert, der verhindert, dass Stuxnet exponentiell wächst. Was gewöhnlich von Kriminellen erwünscht ist, um möglichst schnell viele Computer zu infizieren, wurde hierbei mit Absicht verhindert. Um die Ausbreitung in Schach zu halten, verfügt der Code zudem über einen Lokalisierungsdienst (Geo Tracking) und einen Uninstaller, um auf Wunsch deinstalliert werden zu können – ein absolutes Novum für Computerviren.

So ist auch zu erklären, weshalb erst geschätzt ein Jahr nach der Erstinfektion Stuxnet "zufällig" im Juni 2010 über einen der genutzten Windows-Exploits entdeckt wurde. Diesen LNK-Exploit "zu verschleiern war auf Dauer nicht möglich", so Pichlmayr und betont, dass es deshalb auch mehrere Stuxnet-Varianten gab, um das Virus "noch schneller aufs Zielsystem zu bringen".

Wenig Kollateralschäden

Der Sauberkeit der Programmierung – "keine Fehler im Code" – sei es zu verdanken, dass es bei keiner Fehlinfektion zu einem Schaden kam. Über 30 Schutzmechanismen erschwerten, dass es überhaupt dazu kommen konnte. Im Vergleich zu typischen Windows-Würmern wie dem "Conficker" fiel die Infektionsrate generell relativ niedrig aus. Das österreichische Computer Response Team Cert.at meldete im September 2010 lediglich 20 Virenbefälle bei heimischen Rechnern und stellte hierbei keine Schäden bei Betrieben fest. Derzeit bestünde "keine Bedrohung für Österreich". In Deutschland wurden 15 Industrieanlagen infiziert und mittlerweile bereinigt.

Große Wirkung im Epizentrum

Anders die Lage im Iran. Im Dezember schätzte das Institute for Science and International Security (ISIS), dass Stuxnet bereits im zweiten Halbjahr 2009 rund 10 Prozent sämtlicher in Natanz eingesetzten Zentrifugen zur Urananreicherung außer Gefecht gesetzt haben könnte. Von Irans Spitze hieß es offiziell bislang lediglich, dass es in den vergangenen Monaten zu Komplikationen gekommen sei. Der deutsche Sicherheitsexperte Ralph Langer glaubt, dass das Atomprogramm der Republik um wenigstens zwei Jahre zurückgeworfen wurde. Der aus dem Amt scheidende israelische Geheimdienstchef Meir Dagan meint, dass Teheran frühestens 2015 genug Uran angereichert haben könnte, um eine Atombombe zu bauen. Russlands NATO-Botschafter warnte davor, dass der Atomreaktor in Busher zu einem "neuen Chernobyl" führen könnte.

Das Erbe von Stuxnet: Die Serienproduktion

Wie groß die Schäden an Irans Nuklearanlagen tatsächlich sind, lässt sich von Außen nicht mit absoluter Gewissheit sagen. Für Experten steht allerdings fest, dass Stuxnet "ein Erfolg" für seine Schöpfer war. "Stuxnet hat bewiesen, dass es geht", betont Cert.at-Mitarbeiter Aaron Kaplan im Interview mit derStandard.at. Österreichische Anlagenbetreiber sollten sich zumindest vorsehen und klären, "wie sie diese Angriffe am besten einschränken oder abwehren können." Denn mit Nachahmungstätern sei mit Sicherheit zu rechnen. "Jetzt schon Vorkehrungen gegen Nachahmungstäter zu planen, ist sicher notwendig", so Kaplan.

Pichlmayr sieht weitere "Superviren" als logische Konsequenz aus dem Stuxnet-Erfolg. Die US-Beobachtern nach erste "Cyber-Lenkwaffe" sei dem Antiviren-Forscher zufolge ein Emporkömmling einer Serienproduktion. "Es sind bestimmt weitere Viren in der Pipeline", schlussendlich lohne sich der Aufwand nicht für ein einziges Extrakt. Problematisch an Stuxnet sei vor allem, dass es gezeigt hat, wie verletzlich unsere Gesellschaft gegenüber Computer-Attacken geworden ist. "Es gibt keinen Lebensbereich mehr, der nicht mehr von Informations- und Telekommunikationssystemen beeinflusst wird", gibt Pichlmayr zu Bedenken.

Trittbrettfahrer in Sicht

Neben professionellen Schädlingen könnten Computersysteme künftig auch eine Welle von Amateur-Viren zu spüren bekommen, nachdem ein Student in Alexandria den Stuxnet-Code zur Unterwanderung von Windows-Systemen rekonstruiert (reverse engineered), in einer leicht zu handhabenden Programmiersprache (C) neu geschrieben und online für alle Welt zugänglich gemacht hat. Damit könne laut Kaplan jeder den Code herunterladen, leicht modifizieren und eine neue Variante erstellen, was den AV-Herstellern die Arbeit sehr erschwere. Mit einer ähnlichen Bedrohung für Industrieanlagen sei aufgrund des erheblichen Aufwands zur Programmierung und zum Testen von spezialisiertem Schadcode nicht zu rechnen, jedoch auch ein reines Windows-Virus auf Stuxnet-Niveau könnte reichlich Schaden anrichten.

(Zsolt Wilhelm, derStandard.at, 10.2.2011)

Der WebStandard auf Facebook

  • Irans Uran-Anreicherungsanlage in Natanz (Foto: 2005)
    foto: epa/abedin taherkenareh

    Irans Uran-Anreicherungsanlage in Natanz (Foto: 2005)

  • Bild nicht mehr verfügbar

    Irans Präsident Mahmoud Ahmadinejad besucht die Anlage in Natanz, 2008.

  • Irans Uran-Reaktor in Bushehr

    Irans Uran-Reaktor in Bushehr

Share if you care.