Stuxnet-Wurm kann Industrieanlagen steuern
Der Wurm kann nicht nur die Visualisierungssysteme in Anlagen infizieren, sondern sogar die etwa zur Pumpen- oder Ventilsteuerung eingesetzten speicherprogrammierbaren Steuerungen (SPS) manipulieren.
- Daniel Bachfeld
US-Medienberichten zufolge hat der in Zusammenhang mit der LNK-Lücke bekannt gewordene Stuxnet-Wurm weltweit 14 Industrieanlagen in den USA, Südkorea, UK und dem Iran befallen, auf denen die zur Anlagensteuerung eingesetzte SCADA-Software WinCC von Siemens läuft. Stuxnet ist speziell darauf ausgerichtet, Systeme mit dieser Software zu manipulieren. Laut Symantec ist der Wurm sogar in der Lage, die etwa zur Pumpen- oder Ventilsteuerung vor Ort eingesetzten speicherprogrammierbaren Steuerungen (SPS) über das WinCC-System zu infizieren.
Der Analyse zufolge kann Stuxnet einzelne Codeblöcke in den SPS gegen neue austauschen oder hinzufügen – insgesamt soll er 70 solcher (verschlüsselter) Blöcke mitbringen, um neue Funktionen zu implementieren. Der Schädling macht sich sogar die Mühe, seine Manipulationen auf der SPS zu verschleiern: Ruft ein WinCC-Anwender die Codeblöcke ab, so sollen die vom Wurm hinzugefügten Blöcke des Wurms nicht sichbar sein. Symantec spricht in diesem Zusammenhang vom weltweit ersten bekannten Rootkit für SPS.
Stuxnet agiert allerdings nicht autonom, vielmehr verschafft er seinen Schöpfern einen Fernzugriff auf WinCC-Systeme, die dann einzelne SPS selektieren und deren Verhalten ändern können. Unklar ist bislang aber, welche Funktionen der neue Code enthält und ob er nur zur Überwachung durch gegnerische Kräfte dient oder gar Störungen verursachen soll. Symantec erwähnt in seinem Blog einen historischen Fall, bei dem durch eine trojanisierte Ventilsteuerung der Druck in einer Pipeline bis zum Bersten erhöht worden sein soll. Selbst wenn Anlagenbetreiber ihre WincCC-Systeme vom Stuxnet-Wurm gesäubert haben, können Teile der speicherprogrammierbaren Steuerung noch betroffen sein.
Bei den Analysen des Wurms war man auch auf weitere, bis dato unbekannte Sicherheitslücken in Windows gestoßen, die der Wurm zu Weiterverbreitung über das Netz und zur Erhöhung der Rechte auf infizierten Systemen ausnutze. Eine der Lücken hat Microsoft am vergangenen Patchday geschlossen.
Der Wurm macht sich zudem die von Siemens fest programmierten Zugangsdaten für die zugrundeliegene MS-SQL-Datenbank zunutze, um Zugriff auf Daten des SCADA-Systems zu erhalten. (dab)
