Stuxnet: Fünf Firmen als Sprungbrett missbraucht
Der Wurm wurde mit mehreren gezielten Angriffen auf Firmen in Umlauf gebracht. Bei den Firmen handelt es sich vermutlich um Dienstleister oder andere Auftragnehmer in Zusammenhang mit der Urananreicherungsanlage in Natanz.
- Daniel Bachfeld
Zehn initiale Infektionen in fünf zeitlich versetzten Angriffen sollen die Ausgangspunkte für die Verbreitung des Stuxnet-Wurms gewesen sein. Das schreibt Symantec in einer überarbeiteten Fassung seines Stuxnet-Dossiers (PDF). Demnach hätten die Urheber des Wurms fünf Firmen gezielt angegriffen, um Stuxnet in Umlauf zu bringen. Viele Indizien legen den Schluss nahe, dass Experten der USA und Israels Stuxnet innerhalb von zwei Jahren gemeinschaftlich entwickelt haben.
Bei den angegriffenen Firmen handelt es sich vermutlich um Dienstleister oder andere Auftragnehmer in Zusammenhang mit der iranischen Urananreicherungsanlage in Natanz. Genaue Angaben zur Nationalität der angegriffenen Unternehmen oder deren Namen macht Symantec nicht, allerdings sollen alle eine Repräsentanz im Iran haben.
Mitarbeiter der Firmen haben den Wurm dann offenbar über infizierte Laptops oder USB-Sticks in Natanz eingeschleppt. Dort infizierte Stuxnet die Siemens-Steuerungssysteme und manipulierte nach Einschätzungen von Spezialisten die Geschwindigkeit der Zentrifugen derart, dass die Motoren nachhaltig Schaden nahmen.
Symantec gelangen die Rückschlüsse auf seine Verbreitungswege und Zahlen über Infektionen, weil Stuxnet selbst ein Protokoll über einen infizierten Rechner anlegt. Dies diente mit den genauen Zeitangaben als Grundlage für Symantecs Analysen. Dabei zeigte sich nach Angaben des AV-Herstellers, dass 3280 eindeutig zuordenbare Wurminstanzen für rund 12000 Infektionen verantwortlich waren.
Der erste Angriff soll im Juni 2009 stattgefunden haben, weitere Angriffe folgten im Juli 2009, März 2010, April 2010 und Mai 2010. Dabei wurden einige Unternehmen von den Stuxnet-Autoren mehrfach heimgesucht, wobei bei einigen Rechner die Infektion sogar mehrfach gelang.
Über die gezielten Attacken brachten die Urheber drei Stuxnet-Versionen in Umlauf, wobei erst die im März verteilte den damaligen Zero-Day-Exploit für die LNK-Lücke in Windows enthielt. Die erste Infektion weltweit soll bereits 12 Stunden nach Fertigstellung der ersten Stuxnet-Version erfolgt sein. Symantec schließt das aus den Timestamps des Kompilats.
Den neuen Analysen zufolge enthielt Stuxnet zwar zwei digitale Sprengköpfe, um zwei unterschiedliche Arten von Steuerungen zu infiltrieren und zu stören. Der Code für den zweiten Sprengkopf war aber wohl nicht vollständig und zudem deaktiviert. Experten vermuten, dass der Zeitdruck bei der Entwicklung groß war. (dab)
