Das Stuxnet-Duo: Bösartige Geschwister

Der deutsche IT-Experte Ralph Langner hat drei Jahre nach dem ersten Auftauchen der Cyber-Waffe Stuxnet eine abschließende Analyse des Schädlings vorgelegt. Die wichtigste Erkenntnis: Stuxnet besteht eigentlich aus zwei unterschiedlichen und voneinander unabhängigen Schädlingen, von denen der ältere deutlich heimtückischer ist.

In einem 36-seitigen PDF mit dem Titel "To Kill a Centrifuge" beschreibt Langner ausführlich, welche Fähigkeiten die wahrscheinlich von Israel und den USA entwickelte Software hat. Den älteren, gegen den für die Druckregelung zuständigen Siemens Controller S7-417 gerichteten Teil datiert der Experte auf das Jahr 2005. Erst 2008 oder 2009 sei dann der nach dem Bekanntwerden von Stuxnet hinlänglich beschriebene Teil dazu gekommen. Dieser richtete sich gegen den Geschwindigkeitsregler (Siemens S7-316) und brachte die seinerzeit viel diskutierten vier Zero-Day-Exploits und das gefälschte digitale Zertifikat mit.

Außerdem tarne sich dieser Teil weniger gut als der komplexere Vorgänger, der nur durch einen Agenten vor Ort installiert und so in die Anlage eingeschleust werden konnte. Der Verbreitungsweg per USB kam erst mit dem neueren Code hinzu. Dieses Vorgehen sei letztlich dafür verantwortlich, dass Stuxnet überhaupt aufgeflogen ist. Der ältere Teil des Schädlings sei nach Einschätzung von Langner unmöglich durch Zufall zu entdecken gewesen, sondern wäre nur aufzuspüren, wenn gezielt nach ihm gesucht würde. Nachdem zur Zeit des ersten Einsatzes der Cyber-Waffe niemand eine solche Entwicklung für möglich hielt, fanden solche Suchen schlicht nicht statt.

Nach Einschätzung von Ralph Langner ist der ältere Teil hinsichtlich seiner Cleverness zudem beeindruckender: Anstatt die Zentrifugen in der iranischen Nuklearanlage Natanz durch Manipulation der Rotationsgeschwindigkeit zu zerstören wie der jüngere Bruder, habe Stuxnet heimlich den Druck in den Zentrifugen erhöht. Dies passierte so langsam und so sorgfältig, dass der Ausfall der Zentrifugen wie ein Alterungsprozess aussah, aber nicht wie eine mutwillige Zerstörung. Damit die vor den Kontrollmonitoren wachenden Mitarbeiter in Natanz nichts davon bemerken, spielte die Malware eine vor der Manipulation aufgezeichnete, 21 Sekunden lange Messwert-Sequenz in einer Schleife in das Kontrollsystem ein. Erst danach veränderte Stuxnet nach und nach den Druck in der Anlage.

Der Experte spekuliert in seiner Studie auch darüber, warum die Malware-Macher später bei der Entwicklung der jüngeren Komponente weniger Sorgfalt walten ließen. Eine gekürzte Fassung seines Papiers hat Langner über das US-Magazin Foreign Policy veröffentlichen lassen. Seiner Ansicht nach ging die Entwicklung der Software möglicherweise an eine andere Gruppe über und man wollte mit dem neuen, aggressiveren Angriff auf Nummer sicher gehen. Zuerst beschrieben wurde die ältere Variante im Stuxnet-Code von Symantec. Das Unternehmen veröffentlichte dazu im Juni eine ausführliche Analyse (PDF). (fab)