Was ist mit Stuxnet passiert? Seit es 2010 hunderte Zentrifugen in einer Atomanreicherungsanlage im Iran zerstört hat, ist der Wurm ruhig — aber nicht untätig.

Im Vergleich zu vielen seiner Malware-Kollegen hatte der Stuxnet-Wurm viel mehr als die sprichwörtlichen 15 Minuten Ruhm.

Aus gutem Grund. Es war ein Präzedenzfall. Es war eines der anspruchsvollsten Stücke von Malware, die jemals zu der Zeit erstellt. Kaspersky Lab schätzte, dass ein Team von 10 Programmierern zwei bis drei Jahre brauchte, um es zu erstellen.

Es hat auch eine Grenze überschritten. Anstatt „nur“ verwendet zu werden, um Computer zu hacken und die Daten auf ihnen zu stehlen, wurde es verwendet, um physische Zerstörung zu verursachen.

Was ist Stuxnet?

Als Stuxnet 2010 zum ersten Mal veröffentlicht wurde, hatte es die Zerstörung von fast tausend oder etwa einem Fünftel der Zentrifugen in der iranischen Atomanreicherungsanlage Natanz ermöglicht und das Atomprogramm dieses Landes um 18 Monate oder mehr zurückgeworfen. Offensichtlich wurden das internationale Nachrichten, die nicht nur Monate, sondern Jahre dauerten.

Nachdem die meisten Berichte eine Weile auf Zehenspitzen um das Attributionsproblem herumgegangen waren, sagten sie, es sei „allgemein akzeptiert“, dass Stuxnet eine Cyberwaffe sei, die von israelischen und US-amerikanischen Geheimdiensten entwickelt wurde. Es wurden Bücher darüber geschrieben, zahlreiche Seminare darüber durchgeführt und natürlich Anschuldigungen und Drohungen unter den beteiligten Nationalstaaten.Stuxnet war auch deshalb von Bedeutung, weil die Angreifer den Wurm in die Natanz-Computer brachten, obwohl die Systeme „air-gapped“ waren — nicht mit dem Internet verbunden. Sie verschafften sich Zugang, indem sie USB-Sticks verwendeten, um die Malware auf den Systemen von Drittunternehmen zu installieren, die eine Verbindung zum iranischen Atomprogramm hatten.

VERWANDT: Luftspalte in ICS gehen, gehen … und so ist die Sicherheit

Stuxnet wurde sehr gezielt entwickelt, um nur nach Siemens STEP 7-Software auf Computern zu suchen, die eine SPS (speicherprogrammierbare Steuerung) steuern. Wenn beides fehlte, würde Stuxnet im Computer schlummern. Wenn jedoch beide vorhanden wären, würden die Codes geändert und böswillige Befehle an die SPS gesendet, während eine Rückmeldung zurückgegeben würde, die den Anschein erweckte, als wäre alles normal.

Diese Befehle führten dazu, dass die Zentrifugen außer Kontrolle gerieten und sich selbst zerstörten, bevor jemand, der das System überwachte, wusste, dass etwas nicht stimmte.

Berichten zufolge war Stuxnet nie dazu gedacht, sich über Natanz hinaus auszubreiten. Die Malware landete jedoch auf mit dem Internet verbundenen Computern und verbreitete sich dank eines äußerst ausgeklügelten und aggressiven Designs in freier Wildbahn.

Was ist seitdem passiert?

Nach dem Natanz-Angriff verschwand Stuxnet innerhalb weniger Jahre aus den Schlagzeilen, kehrte jedoch 2016 kurz zurück, als ein Microsoft Security Intelligence-Bericht es unter den Exploit-bezogenen Malware-Familien identifizierte, die in der zweiten Jahreshälfte 2015 entdeckt wurden.

VERWANDT: 6 Jahre später bleibt die ‚Stuxnet‘ -Schwachstelle ausgenutzt

Es verblasste wieder bis im vergangenen November, als Reuters, gefolgt von zahlreichen anderen Verkaufsstellen, eine Behauptung des iranischen Zivilschutzchefs berichtete, dass die Regierung des Landes einen israelischen Versuch entdeckt und gestoppt habe, Computersysteme mit einer neuen Version von Stuxnet zu infizieren.Gholamreza Jalali, Chef der Nationalen Passiven Verteidigungsorganisation (NPDO), sagte dem iranischen Nachrichtendienst IRNA: „Kürzlich entdeckten wir eine neue Generation von Stuxnet, die aus mehreren Teilen bestand … und versuchte, in unsere Systeme einzudringen.Mohammad-Javad Azari Jahromi, Irans Telekommunikationsminister, beschuldigte Israel, hinter dem Angriff zu stecken, und sagte, die Malware solle „die Kommunikationsinfrastruktur des Iran schädigen.“ Aber er sagte, die „wachsamen technischen Teams“ des Landes hätten den Angriff blockiert und Israel sei „mit leeren Händen zurückgekehrt.Die Times of Israel berichtete damals, dass iranische Beamte zugegeben hatten, einem Angriff von „einem gewalttätigeren, fortgeschritteneren und ausgefeilteren Virus als zuvor“ ausgesetzt zu sein, der Infrastruktur und strategische Netzwerke getroffen hat.“

Wie ist der aktuelle Status von Stuxnet?

Wie ist der Status von Stuxnet jetzt? Während es seit Jahren in freier Wildbahn ist, bedeutet das nicht, dass jeder damit die gleiche Art von Schaden anrichten kann.Liam O’Murchu von Symantec, Direktor der Security Technology and Response Group, sagte 2017 gegenüber dem CSO Magazine, dass es sich um den komplexesten Code handele, den das Team überprüft habe, und dass er „in einer völlig anderen Liga spielt als alles, was wir jemals zuvor gesehen haben.“

Er sagte auch, Websites, die behaupteten, den Stuxnet-Code zum Download zur Verfügung zu haben, nicht zu glauben, da der Quellcode für den Wurm nicht veröffentlicht oder durchgesickert sei und nicht aus den Binärdateien extrahiert werden könne, die in freier Wildbahn verfügbar sind.

Während der Code für einen Treiber — ein sehr kleiner Teil des Gesamtpakets — durch Reverse Engineering rekonstruiert wurde, ist dies nicht dasselbe wie der Originalcode.Trotzdem sagte O’Murchu, dass Forscher viel über den Code verstehen könnten, indem sie die Binärdatei in Aktion untersuchten und zurückentwickelten. Zum Beispiel, „es war ziemlich offensichtlich von der ersten Zeit, die wir diese App analysiert, dass es für einige Siemens-Geräte suchen,“ er sagte:.Und nach drei bis sechs Monaten Reverse Engineering „konnten wir, würde ich sagen, 99 Prozent von allem bestimmen, was im Code passiert.“Aber die Ankündigung aus dem Iran im November bestätigt, was mit Stuxnet passiert. Es entwickelt sich weiter, wie es die meisten Malware-Familien tun. Es ist nicht so sehr, dass es zurück ist. Es ist so, dass es nie weggegangen ist — und es wird mit ziemlicher Sicherheit wieder in den Schlagzeilen sein.

Erfahren Sie mehr über ICS-Sicherheit