Experte: Stuxnet hat zwei "digitale Sprengköpfe"
Neuen Analysen zufolge hat der Wurm nicht nur ein Ziel im Visier, sondern zwei. Dabei nutzt er eine weitere, bislang bei Industriesteuerungen nie beobachtete Angriffsart: Er versucht, über eine Man-in-the-Middle-Attacke die Steuerung für Kraftwerksturbinen zu stören.
- Daniel Bachfeld
Der Stuxnet-Wurm hat es neuesten Analysen zufolge nicht auf die Störung einer einzigen Anlage abgesehen, sondern auf zwei unterschiedliche. Nach Angaben des Unternehmens für Sicherheit von Kontrollsystemen Langner Communications ist der Wurm nicht nur darauf ausgelegt, bestimmte Steuerungen für Motoren zu manipulieren, sondern offenbar auch die Steuerung für Kraftwerksturbinen zu stören. Demzufolge wäre laut Langner neben der iranischen Urananreicherungsanlage in Natanz auch das iranische Atomkraftwerk Bushehr Ziel der Stuxnet-Angriffe.
Über die Ziele des Wurms haben sich Spezialisten wochenlang die Köpfe zerbrochen, relativ schnell rankten sich Gerüchte darum, ob Natanz oder Bushehr sabotiert werden sollten. Dass beide Anlagen gestört werden sollten, nahm zunächst niemand an. Hinweise darauf, gab es allerdings schon länger: So greift Stuxnet sowohl Steuerungen der Siemens-Typen S7-300 (315) als auch S7-400 (417) an. Die Angriffsmodule sollen mit unterschiedlichen Tools erstellt worden sein – vermutlich sogar von unterschiedlichen Teams.
Der Code für die S7-417-Anlage, die in Bushehr zur Turbinensteuerung eingesetzt wird, soll dabei erheblich subtiler sein als der für die S7-315-Anlage. So implementiert der Code eine Art Man-in-the-Middle-Attacke, um dem eigentlichen Steuercode einer Anlage falsche Ein- und Ausgabewerte unterzuschieben. Der in einer speicherprogrammierbaren Anlage (SPS) laufende Anwender-Code fragt üblicherweise die I/O-Ports nicht direkt ab, sondern liest aus einem sogenannten Input Process Image und schreibt in ein Output Process Image. Das Mapping von physischen auf logische Ports soll sicherstellen, dass sich I/O-Werte während der Verarbeitungszyklen nicht ändern.
Der Stuxnet-Code deaktiviert laut der Analyse von Langner jedoch die regelmäßigen Updates für die Process Images. Stattdessen schreibt ein in die SPS geschleuster Code die Werte hinein. Welche Werte das sind, hängt davon ab, ob der Angriff bereits läuft oder nicht. So kann der Stuxnet-Code die Original-Werte aus einem phyischen Eingang an das Process Image weiterreichen – oder eben nicht. Damit lässt sich die Turbinensteuerung stören, was im Extremfall zur Zerstörung der Turbine führt.
Die Erkenntnisse setzen dem bereits auf der Funktionsvielfalt vorhandenen Sahnehäubchen noch eine Kirsche obendrauf. Denn schon bei den ersten Stuxnet-Analysen zeigte sich, dass der Wurm ein Art Rootkit für SPS enthält, um dem Programmierer vorzugaukeln, mit dem Code seiner Steuerung sei alles in Ordnung.
Erst am vergangenen Wochenende hatte Symantec verkündet, herausgefunden zu haben, dass der Stuxnet-Wurm auf bestimmte Motoren angesetzt war, die etwa zur Urananreicherung verwendet werden könnten. Stuxnet sei darauf ausgerichtet, die Steuerung der Frequenzumrichter zu manipulieren, die die Motordrehzahl vorgeben. (dab)