F-Secure gibt Antworten zu Stuxnet-Fragen

Warum Stuxnet so gefährlich ist und warum ein Windows-Wurm zum Sprengsatz mutieren kann. Seit einiger Zeit hält Stuxnet die Welt in Atem und steht nicht nur in der Berichtserstattung im Mittelpunkt. Anders als die meisten Computerviren, -würmer oder Trojaner zielt der elektronische Angreifer nicht auf klassische PCs, um dort Passwörter oder Kreditkartendaten zu stehlen. Stuxnet greift stattdessen in die Steuerung von Industrieanlagen ein und kann dabei sehr komplexe Veränderungen am System vornehmen. Die Sicherheitsforscher aus dem F-Secure-Labor sind im eigenen Weblog auf wichtige Fragen zum Stuxnet-Wurm eingegangen und liefern gleich die passenden Antworten:

Was ist Stuxnet?

Es handelt sich dabei um einen Windows-Wurm, der sich über USB-Sticks verbreitet. Wenn sich der Wurm einmal innerhalb eines Netzwerkes eingenistet hat, dann repliziert er sich über gemeinsame Netzwerklaufwerke weiter, die nur schwache Passwörter besitzen.

Kann sich der Wurm auch über andere Wechselmedien verbreiten?

Der Wurm kann sich über alles verbreiten, was an einen Rechner als Laufwerk angeschlossen werden kann. Es spielt dabei keine Rolle, ob es sich um ein externes USB-Laufwerk, ein Mobiltelefon oder einen digitalen Bilderrahmen handelt.

Was passiert im Anschluss?

Er infiziert das System, nistet sich mit einem Rootkit ein und überprüft, ob der infizierte Rechner mit der Industrieanlage Siemens Simatic (Step7) verbunden ist.

Was bedeutet das für Simatic?

Stuxnet modifiziert ausgehende Befehle von einem Windows-Rechner an ein PLC und sucht nach einer speziellen industriellen Ausstattung. Ist Stuxnet bei der Suche erfolglos, tritt er auch nicht weiter in Erscheinung.

Welche Auswirkung hat Stuxnet auf Industrieanlagen?

Stuxnet nimmt sehr komplexe Veränderungen am System vor. Die Auswirkungen dieser Veränderungen sind dabei davon abhängig, wie die Industrieumgebung aussieht.

Wie könnten von Stuxnet verursachte Schaden aussehen?

Stuxnet könnte Motoren überhitzen, Förderbänder anhalten oder Pumpen abschalten und damit eine ganze Anlage lahm legen. Mit den richtigen Modifikationen könnte Stuxnet auch Gegenstände zur Explosion bringen.

Warum wird Stuxnet als sehr komplex und dadurch gefährlich angesehen?

Es nutzt mehrere Schwachstellen für die Infektion eines Systems aus und kopiert zudem eigene Treiber auf das infizierte System.

Wie kann Stuxnet einen eigenen Treiber installieren? Müssen solche Treiber-Dateien nicht bei Microsoft-Betriebssystemen signiert sein?

Der Stuxnet-Treiber wurde mit gestohlenen Zertifikaten der Realtek Semiconductor Corporation signiert.

Wurde das gestohlene Zertifikat mittlerweile gesperrt?

Ja. Verisign hat das gestohlene Zertifikat am 16. Juli 2010 für ungültig erklärt, eine modifizierte Variante von Stuxnet mit einem ebenfalls gestohlenen Zertifikat von der JMicron Technology Corporation ist aber am 17. Juli 2010 aufgetaucht.

Gibt es einen Zusammenhang zwischen Realtek und Jmicron?

Eigentlich nicht. Aber beide Unternehmen haben ihren Hauptsitz im gleichen Bürokomplex in Taiwan.

Welche Schwachstellen nutzt Stuxnet aus?

Es sind insgesamt fünf Schwachstellen, die Stuxnet ausnützt. Davon vier, die als Zero-Day Exploits galten: LNK (MS10-046), Print Spooler (MS10-061), Server Service (MS08-067), Ausnutzung von Nutzer-Privilegien über die Tastatur-Layout Datei, Ausnutzung von Nutzer-Privilegien über den Taskplaner.

Und Microsoft hat diese Schwachstellen mittlerweile behoben?

Bis auf die beiden Schwachstellen, die die Privilegien ausnutzen, ja.

Warum hat es so lange gedauert, bis Stuxnet im Detail analysiert werden konnte?

Stuxnet ist auß;erordentlich komplex und mit über 1,5 MByte zudem noch ungewöhnlich groß;.

Wann ist Stuxnet das erste Mal in Erscheinung getreten?

Im Juni 2009, oder sehr wahrscheinlich schon früher. Einige Komponenten von Stuxnet wurden beispielsweise schon im Januar 2009 kompiliert.

Und wann wurde der Wurm erstmals entdeckt?

Ungefähr ein Jahr später, im Juni 2010.

Wurde Stuxnet durch eine Regierung programmiert?

Danach sieht es aus, ja. Wir wissen aber nicht bekannt, welche Regierung Stuxnet in Auftrag gegeben hat.

Stimmt es, dass sich Stuxnet auf die Bibel bezieht?

Es gibt einen Bezug auf „Myrtus“, der Pflanze Myrte. Allerdings ist dieser Bezug im Code auch nicht versteckt. Es ist eher Artefakt, der beim Compile-Vorgang des Codes hinterlassen wurde. Im Grunde genommen sagt es nur aus, wo die Autoren den Code auf deren Systemen gespeichert haben. Die ausdrückliche Pfadangabe innerhalb von Stuxnet ist: myrtussrcobjfre_w2k_x86i386guava.pdb. Die Autoren von Stuxnet wollten vielleicht gar nicht, dass ihr Codename von Stuxnet bekannt werden sollte. Aber dank dieses Artefaktes wissen wir es nun. Solche Artefakte sind nicht selten bei Malware. Die Attacke „Operation Aurora“ gegen Google wurde landläufig so genannt, weil der folgende Pfad innerhalb einer der Binaries gefunden wurde: Aurora_SrcAuroraVNCAvcReleaseAVC.pdb.

Könnte es eine andere Bedeutung haben?

Könnte es! Beispielsweise „My RTUs“. RTU ist eine Abkürzung für „Remote Terminal Units“, wie sie in Industrieanlagen zum Einsatz kommen.

Wie erkennt Stuxent, ob es einen Rechner bereits infiziert hat?

Stuxnet „markiert“ seine Infektionen anhand eines Registrierungsschlüssels und dem Wert „19790509“.

Warum gerade „19790509“?

Es ist ein Datum, der 09. Mai 1979

Was geschah am 09. Mai 1979?

Vielleicht ist es der Geburtstag einer der Autoren. Darüber hinaus wurde an diesem Tag auch ein jüdisch-iranischer Geschäftsmann mit dem Namen Habib Elghanian im Iran exekutiert und zwar wegen angeblicher Industriespionage für Israel.

Lässt dies nicht doch einen Schluss auf die Regierung zu, die hinter Stuxnet stehen könnte?

Tatsache ist, dass derzeit niemand weiß;, wer genau hinter der Stuxnet-Attacke steckt.

Gibt es einen Zusammenhang zwischen Stuxnet und Conficker?

Möglicherweise! Conficker trat im Zeitraum November 2008 bis April 2009 in mehreren Varianten auf. Die erste Variante von Stuxnet erschien kurz darauf. Beide nutzen die Schwachstelle MS08-067, beide können sich über USB-Sticks verbreiten und beide nutzen schwache Passwörter zur Verbreitung. Und beide sind sehr komplex.

Gibt es auch einen Zusammenhang zu anderen Computerschädlingen?

Einige Zlob-Varianten waren die ersten, die die Schwachstelle MS08-067 ausnutzten.

Die AutoRun-Funktion zu deaktivieren, kann die Verbreitung des Wurms stoppen, richtig?

Falsch, es gibt verschiedene Mechanismen der Verbreitung, die solche USB-Würmer nutzen. Auch wenn AutoRun und AutoPlay unter Windows deaktiviert wurden, kann Stuxnet mittels der Schwachstelle LKN das System infizieren.

Stuxnet verbreitet sich somit immer weiter?

Aktuelle Versionen von Stuxnet haben ein „Ablaufdatum“, den 24. Juni 2012. Danach verbreitet sich der Wurm nicht mehr.

Wie viele Computer hat Stuxnet bis jetzt infiziert?

Einige Hundertausend.

Aber Siemens hatte veröffentlicht, dass nur 15 Anlagen infiziert sind.

Siemens spricht in diesem Zusammenhang von Anlagen. Die meisten der infizierten PCs sind nur „Nebenwirkungen“ von Stuxnet, sprich auch normale Heim- und Bürorechner, die nicht an SCADA-Systeme angeschlossen sind, sind davon betroffen.

Wie konnte es den Angreifern gelingen, einen derartigen Trojaner in die Hochsicherheitssysteme von Anlagen einzuschleusen?

Ein ganz einfaches Beispiel: Ein Einbrecher dringt in ein Haus eines Mitarbeiters ein und infiziert dessen USB-Sticks mit Stuxnet. Dann ist es nur noch eine Frage der Zeit, wann der Angestellte diese mit ins Büro nimmt und an den Rechner im Büro anschließ;t. Der Wurm repliziert sich dann innerhalb des Netzwerkes weiter und findet dann irgendwann das gewünschte Ziel. Als Nebeneffekt verbreitet sich Stuxnet eben auch auf andere Systeme.

Gibt es theoretisch noch andere Möglichkeiten, welche Auswirkungen Stuxnet haben könnte?

Siemens hatte letztes Jahr angekündigt, dass Simatic auch in der Lage sein wird, Alarmanlagen und Zugänge zu kontrollieren. Theoretisch könnte man sich somit Zutritt zu strenggeheimen Bereichen verschaffen.

War Stuxnet für den Untergang der „Deepwater Horizon“ und die Ölkatastrophe im Golf von Mexiko verantwortlich?

Das ist eher unwahrscheinlich. Obwohl auch Deepwater Horizon Siemens-PLC-Systeme im Einsatz hatte.