Stuxnet 0.5: Der Sabotage-Wurm ist älter als gedacht

Mindestens seit 2007 und nicht erst seit 2009 wurde der erste Stuxnet-Wurm eingesetzt. Die Sicherheitsfirma Symantec fand die ältere Variante während einer Routineuntersuchung ihrer Malware-Datenbank und analysierte (PDF) daraufhin die Version mit der Bezeichnung Stuxnet 0.5 Mit dem neuen Fund muss die Geschichte von Stuxnet überarbeitet werden.

Demnach soll der frühere Stuxnet-Wurm spätestens ab dem 15. November 2007 in Umlauf gebracht worden sein, um das iranische Atomprogramm zu stören. Zu diesem Zeitpunkt wurde er bei Virus Total hochgeladen, um ihn zu testen. Einer der dazugehörigen Command and Control-Server soll allerdings schon am 3. November 2005 registriert worden sein.

Die frühe Variante war weniger aggressiv und verbreitete sich nach der Infektion nur über einen Weg – 0.5 konnte ausschließlich über Siemens Step 7 Projekt-Dateien übertragen werden, die eigentlich nur Entwickler austauschen. Spätere Versionen brachten Zero-Day-Exploits mit, die Lücken im Windows-System ausnutzten. Dies könnte auch einer der Gründe sein, weshalb Stuxnet 0.5 zuvor nicht gefunden wurde.

Wie aber auch spätere Versionen hatte es 0.5 auf die Zentrifugen in Urananreicherungsanlagen abgesehen und manipulierte dafür speicherprogrammierbare Steuerungen (SPS) von Siemens. Dabei scheint Stuxnet 0.5 insbesondere die Ventil-Steuerungen sabotiert zu haben, um die Verteilung von Uranhexafluorid-Gas zu kontrollieren. Ziel soll es gewesen sein, dass der Druck in den Zentrifugen-Kaskaden um das fünffache erhöht wird, um so die Gerätschaften zu zerstören.

Version 0.5 arbeitete dabei in acht aufeinander folgenden Schritten. Zunächst schlummerte 0.5 eine Weile im System, um den normalen Betriebsverlauf und dessen Messergebnisse aufzuzeichnen. Später setzte die Manipulation der Zentrifugen-Ventile ein, bei der den Mitarbeitern vor Ort die älteren Ergebnisse vorgespielt wurden, welche die Druckerhöhung kaschierten.

Wie Wired berichtet, stellte die internationale Atomenergie-Organisation (IAEO) bei ihren Kontrollen im Iran fest, dass etwa zwischen Januar und August 2009 mehrere Produktivitäts-Einbrüche bei den Zentrifugen-Kaskaden zu verzeichnen waren, obwohl die Zahl der Zentrifugen kontinuierlich erhöht wurde. Bei dem Besuch der Kontrolleure sollen Techniker außerdem damit beschäftigt gewesen sein, Zentrifugen auszutauschen. Es ist davon auszugehen, dass die Einbrüche auf das Konto von Stuxnet 0.5 gingen.

Dass Stuxnet 0.5 bald durch neuere Versionen abgelöst werden sollte, belegen einige Daten. Der Wurm wurde so programmiert, dass er ab dem 4. Juni 2009 keine weiteren Systeme infizierte und nur noch in bereits gekaperten Maschinen aktiv war. Die Kommunikation mit den C&C-Servern wurde bereits am 11. Januar 2009 beendet.

Die Ablösung von Version 0.5 erfolgte scheinbar postwendend. Im Juni 2009 wurde Variante 1.001 aktiv - die Variante, die seit längerem als die erste galt. Dieser Stuxnet konnte ältere Versionen updaten und hat somit wohl weitere Spuren zu der frühen Version 0.5 verwischt. Auf Variante 1.001 folgten mehr. Unter anderem fanden Forscher noch die Version 1.100 von März 2010 und die Version 1.101 von April 2010. Die verschiedenen Deklarationen ab Version 0.5 legen nahe, dass noch wesentlich mehr Versionen entwickelt, diese aber nicht in die freie Wildbahn entlassen wurden.

Obwohl Stuxnet 0.5 nun schon einige Jahre auf dem Buckel hat und diese Version durch Updates auf neuere Versionen verdrängt wurde, konnte Symantec im letzten Jahr trotzdem noch einige Infektionen ausmachen. So soll Stuxnet 0.5 auch noch in deutschen Siemens-Steuerungssystemen aktiv sein.

Neben Stuxnet sollen weitere Schadprogramme wie der Spionagetrojaner Flame gezielt von den USA und Israel entwickelt worden sein, um das iranische Atomprogramm zu sabotieren. Zumindest wurde dies im US-amerikanschen Wahlkampf 2012 mehrfach angedeutet. (kbe)