Stuxnet - eine Cyber-Waffe?

[100]

Der Stuxnet-Wurm, der sich über eine Zero-Day-Lücke in Microsoft Windows verbreitete, erschien zunächst wie ein normaler, primär zur Betriebsspionage eingesetzter Computerschädling. Kürzlich jedoch äußerte Frank Rieger - Journalist und Mitglied des Chaos Computer Club - einen interessanten Verdacht: Stuxnet könnte der erste erfolgreiche, großflächig durchgeführte Cyberwar-Angriff gewesen sein.

Stuxnet nutzte eine Schwachstelle in der Handhabung von Verknüpfungen (LNK-Dateien) aus (gulli:News berichtete). Diese erlaubte es, über entsprechend manipulierte Verknüpfungen Malware zu installieren. Die manipulierten Verknüpfungen wurden automatisch - nicht erst beim Anklicken durch den Benutzer - aktiv, was eine sehr effektive Verbreitung ermöglichte. Die Lücke existierte auf sämtlichen Windows Versionen vom völlig veralteten Windows 2000 bis hin zu den aktuellsten Versionen Windows 7 und Windows Server 2008. Verbreitet wurden entsprechende Schädlinge meist per USB-Stick.

Der erste Verdacht, dass mit Stuxnet etwas nicht stimmte, kam den Sicherheitsexperten laut Riegers Bericht, als sie den Wert der Schwachstelle einzuschätzen versuchten. Sie kamen zu dem Schluss, dass ein derart effektiv auszunutzender Exploit auf dem Schwarzmarkt mehrere 100.000 Dollar wert wäre und daher eigentlich viel zu schade wäre, um ihn für "normale" Online-Kriminalität zu verwenden. Stattdessen wäre es eher zu erwarten, dass ein derartiger Exploit an einen Interessenten - Sicherheitsexperten, die Hersteller der betroffenen Software, aber auch Geheimdienste und andere Behörden - für viel Geld verkauft würde.

Bei einer Analyse des Stuxnet-Schadcodes kam zutage, dass dieser sehr aufwändig und gekonnt programmiert war. Zahlreiche verschiedene Programmebenen und Schutzmechanismen sollten Sicherheitsexperten die Analyse und die Entdeckung des Schädlings erschweren. Die Analysen sind daher auch nach wochenlanger Arbeit noch nicht vollständig abgeschlossen. Bei Stuxnet wurden mindestens zwei verschiedene Zero-Day-Exploits und zwei gestohlene Signaturen - unter anderem eine der Firma Realtek Semiconductors, die vor allem Netzwerkkarten herstellt - verwendet. Die Signaturen dienten dazu, der Software eine vorgebliche Legitimität zu verleihen - sie sollte vom Betriebssystem, insbesondere dem aktuellen und in dieser Hinsicht recht effektiv geschützten Windows 7 - für unschädlich gehalten werden. Alles in allem wurde bei Stuxnet also ein erheblicher Aufwand getrieben. Die Sicherheitsforscher vermuteten bald, dass dies einen speziellen Grund haben musste. Immerhin erfüllen oft auch vergleichsweise primitiv gestaltete Schädlinge ihren Zweck, wenn es nur darum geht, unbedarfte Internetnutzer in die Falle zu locken.

Die Sicherheitsexperten stießen bald auf etwas, dass sie in ihrer Vermutung bestätigte: Stuxnet enthält hochentwickelten Code zur Manipulation von Industrieanlagen. Angesichts der aktuellen Diskussion über den Schutz kritischer Infrastrukturen - beispielsweise Kraftwerke, Umspannwerke, Krankenhäuser und Kommunikationsnetze - lag der Verdacht nahe, dass dieser Code zum Angriff auf eben solche Anlagen dienen sollte. Allerdings blieben zunächst weitere Fragen offen - wie Rieger es ausdrückt: "Gegen welche Anlagen richtet sich der Angriff? Wer steckt dahinter? Wo ist das eigentliche Ziel?"

Der Programmcode von Stuxnet, so Rieger, gebe "einige spärliche Hinweise". Offenbar soll der Schädling Messanlagen, die von einem "Siemens WinCC"-Rechner - der unter einer Windows-Variante läuft - gesteuert werden, manipulieren. Da man sich bei der Überwachung solcher Anlagen heutzutage meist fast völlig auf den Computer verläßt und herkömmliche Messinstrumente weitgehend fehlen, wäre dann die ganze Messanlage in der Hand der Schadsoftware. Wer aber kann und will für eine solche Manipulation einen derartigen Aufwand betreiben? Rieger schreibt, dass "Hobbyhacker oder lumpige Cyber-Kriminelle" nicht in Frage kommen, schon alleine aufgrund der wahrscheinlichen Kosten für Entwicklung und Ankauf der Software-Komponenten. Diese dürften im siebenstelligen Euro-Bereich liegen. Zudem müssen die Angreifer, das zeigen Aufbau und Funktionsweise von Stuxnet, erhebliche Kenntnisse der von ihnen ins Visier genommenen Anlage haben.

Angesichts dieser Indizien zieht Riegers Artikel das Fazit, es blieben "als Autoren nur Nationalstaaten übrig, die über entsprechende Ressourcen verfügen, um eine derart hochgezüchtete Cyber-Waffe zu entwickeln und zu testen - und zwar, bis sie nahezu nebenwirkungsfrei ist. „Cyber-Kriege“ können aufgrund des nötigen langfristigen Entwicklungsaufwandes für die digitalen Angriffswerkzeuge de facto nur von Entitäten in der Größenordnung von Staaten geführt werden."

Ist Stuxnet also die erste von einem Nationalstaat großflächig eingesetzte Cyber-Waffe? Wenn ja, wer hat sie entwickelt, gegen wen und zu welchem Zweck? Die Beantwortung dieser Fragen gestaltet sich, wie so oft im Internet, äußerst schwierig. Gesicherte Erkenntnisse gibt es nicht. Allerdings läßt die Sammlung von Indizien, in Verbindung mit der Erfahrung und Intuition der Experten, begründete Vermutungen zu. So halten es die Sicherheitsexperten nicht für Zufall, dass 60 Prozent der Stuxnet-Infektionen sich auf den Iran konzentrierten. Zudem schien der Angriff als zeitlich begrenzte Aktion konzipiert zu sein: im Januar 2009 sollte Stuxnet aufhören, sich weiterzuverbreiten - über ein Jahr, bevor die zugrunde liegende Sicherheitslücke offiziell bekannt wurde. Der Schädling verbreitete sich trotzdem weiter, wahrscheinlich über Computer mit fehlerhafter Datumseinstellung, bis er schließlich von Sicherheitsexperten entdeckt wurde.

Dieser Zeitpunkt ist laut Rieger ebenfalls ein interessantes Indiz: "Ausgehend von Anfang 2009 als Aktionsdatum, ergibt sich eine faszinierende Kette von Indizien. Mitte Juli 2009 publizierte Wikileaks eine kryptische Notiz mit dem Hinweis eines Informanten aus Iran auf einen nuklearen Unfall in Natanz, der sich kurz zuvor ereignet haben soll. In Natanz wird ein Großteil des iranischen Urans mit Hilfe von Zentrifugen angereichert. Die BBC meldete zur gleichen Zeit, dass der Leiter der iranischen Atombehörde, Gholam Reza Aghazadeh, zurückgetreten sei. Schon damals gab es Spekulationen über ein Einwirken im Rahmen des klandestinen Antiproliferationsprogrammes, das westliche Geheimdienste seit Jahren gegen den Iran betreiben. Die Dienste versuchen durch allerlei Methoden, das iranische Atomprogramm zu behindern und zu verzögern. Statistiken, die aus Daten der Internationalen Atomenergiebehörde erstellt wurden, legen nahe, dass nach dem Frühjahr 2009 die Zahl der tatsächlich betriebenen Anreicherungszentrifugen in Iran deutlich abgenommen hat, trotz Installation von immer mehr Zentrifugen. Ereignisse im Frühjahr 2009 haben die Kapazität des iranischen Anreicherungsprogrammes offenbar nachhaltig beschränkt. War stuxnet womöglich der Auslöser?" Technisch gesehen wäre es möglich und würde perfekt zum bisher bekannten Aufbau des Computerschädlings passen. Die nötigen Informationen über den technischen Aufbau der iranischen Atomanlagen könnte man von Überläufern oder Agenten erfahren haben. Ebenso könnte ein Agent einen manipulierten USB-Stick an Ort und Stelle gebracht haben.

Einer der mit Stuxnet befassten Computerexperten - der aus verständlichen Gründen anonym bleibt - ist sich jedenfalls sicher: "So etwas bauen große Staaten zusammen, wenn die Alternative bei einem Misserfolg wäre, einen Krieg anzufangen." Wer jedoch dahinter steht, darüber läßt sich allenfalls mutmaßen. So ziemlich jedem, der die politischen Debatten der letzten Jahre verfolgt hat, dürften einige "übliche Verdächtige" einfallen, die am vorgestellten Szenario ein Interesse hätten.

Einen endgültigen Beweis für die vorgestellte Theorie gibt es nicht. Womöglich werden wir niemals erfahren, was sich wirklich zugetragen hat und ob Stuxnet tatsächlich eine "Cyber-Waffe" war. Die Indizien scheinen in jedem Fall dafür zu sprechen. Diese Theorie wirft jedoch eine Menge Fragen auf, seien sie ethischer, strategischer oder technischer Natur. Auch über die Sicherheit unserer eigenen Anlagen sollten wir uns womöglich Gedanken machen angesichts der Tatsache, dass offenbar derart effektive - und lange Zeit unentdeckte - Angriffe möglich sind. Das Szenario liest sich wie eine Mischung aus Hackerfilm-Drehbuch und Spionageroman - und ist doch womöglich bereits Realität. Es dürfte alles andere als leicht sein, sich an diesen Gedanken zu gewöhnen.

Quelle: Gulli.com
gulli.com - news - view - Stuxnet - eine Cyber-Waffe?

Vorheriger Artikel: http://free-hack.com/globale-news-sz...hlight=Stuxnet