Stuxnet-Wurm: weitere Tricks im Cyberwar

Stuxnet ist Analysen von Symantec zufolge in der Lage, ein bereits desinfiziertes Windows-System erneut zu befallen. Dazu schreibt sich der Wurm zuvor in Projektordner der Entwicklungsumgebung für Speicherprogrammierbare Steuerungen Step 7 ein. Dabei manipuliert Stuxnet bestimmte Dateien und legt infizierte DLLs ab, von denen einige verschlüsselte sind.

Offenbar in Analogie zu der seit August bekannten Schwachstelle von Windows hinsichtlich der Suchpfade beim Laden von DLLs wird eine der Bibliotheken beim Öffnen eines Projektes dann geladen. Diese DLL lädt, entschlüsselt und startet die eigentlichen Stuxnet-Bibliotheken. In der Folge ist das System nach einer Desinfektion wieder befallen. Aber auch weitergegebene Projektordner können zur Infektion eines Rechners führen.

Darüber hinaus wurde bekannt, dass Stuxnet erst seit März 2010 die LNK-Schwachstelle zur Verbreitung über USB-Sticks ausnutzte. Zuvor nutzte er präparierte autorun.inf-Dateien, die von Windows sowohl als autorun-Dateien als auch als EXE-Dateien interpretiert werden konnten. In Kombination mit weiteren Tricks sollte dies die Wahrscheinlichkeit erhöhen, je nach den AutoRun-Einstellungen ein Windows-System zu infizieren.

Unterdessen gehen die Spekulationen weiter, welche Anlage das Ziel von Stuxnet gewesen ist. Die Theorie, dass der Wurm das iranische Atomkraftwerk Bushehr im Visier gehabt haben soll, wird nun zusätzlich dadurch genährt, dass die Iraner zumindest Infektion der PCs von Mitarbeiter in Bushehr zugegeben haben. Allerdings stellt sich die Frage nach dem Sinn, das nach einhelliger Meinung nur für zivile Zwecke nutzbare AKW zu zerstören. Selbst Israel hatte in dieser Richtung keine Bedenken geäußert.

Gegen Bushehr spricht auch, dass Stuxnet nach bisherigen Erkenntnissen nur dafür ausgelegt ist, SPS-Module der Siemens-Familien S7-400 und S7-300 zu manipulieren. Diesen fehlt aber die für den Einsatz in Atomkraftwerken erforderliche Zulassung (nach SIL 4 beziehungsweise AK7), wie Siemens gegenüber heise Security bestätigte. Möglich ist allerdings, dass die Iraner diese internationalen Standards ignorieren und der russische Kraftwerksbauer Atomstroyexport die nicht zugelassenen Komponenten trotzdem verbaut hat – es sollen in Busher ja auch nicht lizenzierte Versionen der Visualisierungssoftware WinCC laufen.

Der eigentliche Dorn im Auge westlicher Staaten ist zumindest im Iran eigentlich die unterirdische Urananreicherungsanlage in Natanz. Das CCC-Mitglied Frank Rieger hat darauf auch in einem Artikel in der FAZ hingewiesen. Seiner Meinung nach habe Stuxnet aber dort bereits Mitte 2009 sein zerstörerisches Werk verrichtet, worauf ein Wikileaks-Eintrag und geringe Produktionszahlen hindeuten sollen.

Interessanterweise hat der Leiter der US Cyber Consequences Unit Scott Borg Mitte 2009 genau solch einen Angriff durch den Mossad in einem Interview mit der israelischen News-Seite Ynetnews beschrieben: Jemand könne Malware in die Urananreicherungsanlagen einschleusen und die Systeme stören. Ein infizierter USB-Stick würde dafür ausreichen. Der Mossad versucht seit Längerem ein mögliches Atomwaffenprogramm des Iran zu stören, wobei in der Vergangenheit bereits mehrere mutmaßliche Spione im Iran festgenommen und hingerichtet wurden.

Allerdings ist es auch möglich, dass Anlagen im Iran nur im Rahmen eines aus dem Ruder gelaufenen Angriffs auf Indien befallen wurden. Kaspersky hat neuere Zahlen veröffentlicht, wonach Indien das Epizentrum der Stuxnet-Aktivitäten war und ist. Der russische Kraftwerksbauer Atomstroyexport, der mit infizierten Laptops mutmaßlich den Stuxnet-Wurm in Bushehr eingeschleppt haben soll, arbeitet derzeit beispielsweise auch gerade am indischen Atomkraftwerk Kudankulam.

Das wirft die Frage auf, ob nicht möglicherweise der Urheber doch nicht im Westen zu finden ist, sondern eher im Osten. Indien und China sind beispielsweise Kontrahenten; und welche Fähigkeiten die Chinesen im sogenannten Cyberwar entfalten können, haben sie nicht nur 2003 bewiesen, als sie in Teile des US-Power-Grid eindrangen. Welche Konsequenzen Angriffe auf kritische Infrastrukturen haben können, haben die Chinesen dabei vermutlich hinreichend erfahren können und das Wissen zum Schutz der eigenen Anlagen bereits eingesetzt. Weltweit soll China laut McAfee bei der Sicherheit von SCADA-System führend sein. (dab)