W32.Stuxnet – Gattung Virus, Klasse Trojaner. Dieser neue Computerschädling erschreckt derzeit die Fachwelt. Der Grund dafür: Stuxnet ist anders und Stuxnet ist rätselhaft. Aus der riesigen Masse der Computerviren sticht er durch seine Besonderheiten heraus. Welche das sind, hat der Sicherheitsforscher Frank Boldewin aus Münster herausgefunden. Er war es, der das Ausmaß des Schädlings als erster halbwegs einzuschätzen wusste.
"Einmal sehr besonders ist, dass das Zertifikat signiert ist, mit einem Zertifikat, das gestohlen wurde von der Firma Realtek und noch ein weiteres von der Firma Jmicron. Das zweite besondere ist, dass es ein sehr, sehr stabiler Angriffscode ist. Die dritte Besonderheit, die sicherlich für den größten Hype gesorgt hat, ist, dass es der erste Trojaner ist, der aufgetaucht ist, der Scada-Systeme angreift. Und der Programmcode ist sehr groß und wir werden weiter schauen müssen, was da passiert. Wir haben noch nicht alles analysiert."
Wie die Zertifikate entwendet und missbraucht werden konnten, ist derzeit noch völlig unklar. Auch die Art des Befalls lässt rätseln. Bislang befielen Viren immer wahllos Rechner, meist auf dem Weg über das Internet. Stuxnet jedoch infizierte zielgerichtet, übertragen über Massenspeicher wie einem USB-Stick, eine ganz spezielle Art Computer: Industriell genutzte Windows-Rechner, die mit dem Steuersystem Scada von Siemens ausgerüstet sind. Gezielt scheint auch die Verbreitung: Vor allem Systeme in Indien, Indonesien und im Iran sind betroffen. Erstmals entdeckt wurde er vom weißrussischen Unternehmen Virus Blok Ada.
"Seit Ende Juni hatten wir sehr viele Support-Anfragen aus dem Mittleren Osten. Zudem meldete unser Tracking-System viele Erst-Erkennungen. Anfang Juli gab es dann die erste Infektion auch in Weißrussland. Digital signierte Schadsoftware haben wir nicht oft. Umso verwunderter waren wir, dass diese von der bekannten Firma Realtek unterzeichnet war. Danach haben wir viel Zeit in die Analyse der Windows-Schwachstelle gesteckt",
erklärt Sergei Ulasen, Leiter der Analyseabteilung der weißrussischen Firma. Die Experten stießen schnell an Grenzen. Nicht nur war Stuxnet mit einem validen Zertifikat versehen, der Programm-Code ist außerdem hochkomplex und teilweise verschlüsselt. Daher ist noch unbekannt, was Stuxnet bezweckt oder welche Schäden er anrichtet. In einer Stellungnahme des BSI heißt es – Zitat:
"Dem BSI liegen keine Erkenntnisse vor, was mit dieser Schadsoftware bezweckt wird. Sie ist so komplex und analyseresistent, dass die Funktionen erst langsam ausgewertet werden können. Die Schadsoftware ist sehr aufwendig mit viel Detailwissen auch der Opferprogramme programmiert. Dabei ist zwischen dem Infektionsweg über USB mit der Microsoft-.lnk-Datei und der eigentlichen Schadfunktion mit dem Angriff auf die Siemens-Software zu unterscheiden. Derzeit geht die größte Gefahr von der lnk-Schwachstelle aus."
Stuxnet besteht aus zwei Teilen. Der erste sorgt für den Zugang zum Rechner und ist bisher nur in Teilen enträtselt. Frank Boldewin erklärt, wie dieser Teil arbeitet und was ihn von bisherigen Viren unterscheidet.
"Er funktioniert unter allen möglichen Windows-Betriebssystemen. Er nutzt keine Schwachstelle aus, wie es in der Regel der Fall ist, dass man zum Beispiel über einen Pufferüberlauf Kontrolle über einen bestimmten Prozess bekommt. Diese Angriffe sind oft nicht so stabil, dass sie unter allen Betriebssystemen laufen. Und diese Schwachstelle tut es eben, weil sie eben nicht ein ganz normalen Pufferüberlauf als Schwachstelle ausführt, sondern sie nutzt eine Art Logikfehler, der dazu führt, dass die, diese Shortcuts sind ja diese Links auf die Icons im Windows, und dort wird quasi bei der Interpretation dieser Bilder Programmcode ausgeführt aufgrund eines logischen Fehlers."
Die zweite Komponente enthält das eigentliche Schadprogramm. Von diesem ist bisher nur bekannt, dass es ein eigentlich geheimes Passwort des Siemens Scada-Systems nutzt. In einer Stellungnahme erklärt der Hersteller gegenüber dem Deutschlandfunk – Zitat:
"Was allgemein als gesetztes Standardpasswort bezeichnet wird, ist vergleichbar mit einer Computeradresse, unter der die verschiedenen Informationen zusammengetragen werden. Lediglich die systeminterne Authentifizierung von WinCC zur Microsoft SQL-Datenbank erfolgt mit diesen fest vorgegebenen Zugangsdaten."
Die bisher betroffenen Systeme stehen nicht in Privathaushalten, sondern werden von verschiedensten Zweigen der Industrie genutzt. Einige dieser Maschinen steuern Fertigungstraßen für Autos oder Flugzeuge. Aber auch in Atomkraftwerken kommen Scada-Systeme zum Einsatz, sagt Frank Boldewin. Die Situation ändert sich aktuell. Die Angriffskomponente von Stuxnet wird mittlerweile auch von anderen Kriminellen genutzt. Seit Donnerstag sind weitere Varianten von Stuxnet via Internet im Umlauf. Eine installiert einen sogenannten Keylogger auf den befallenen Rechnern. Dieser soll Passwörter und Kreditkarten-Daten sowie Onlinebanking-Informationen abfischen. Diese neue Variante könnte auf breiter Front erfolgreich sein. Schließlich ist die Sicherheitslücke auf allen Windows-Betriebsystemen ab Windows XP vorhanden. Dennoch gibt Microsoft vorsichtig Entwarnung:
"Momentan laufen die Angriffe sehr gezielt und zielen auf Firmenanwender. Das ist aber so, weil die Angreifer in der komfortablen Lage sind, sich ihre Ziele aussuchen zu können. Die Zielgruppe kann sich also in der Zukunft ändern, so dass auch der normale Verbraucher betroffen sein könnte. Wir haben es derzeit nicht mit Wellen, wie bei Blaster oder Sasser zu tun."
Sowohl Microsoft als auch Siemens arbeiten im Moment fieberhaft an einer Lösung der Probleme. Beide Unternehmen stellten in dieser Woche provisorische Schutzmaßnahmen bereit, die dringend umgesetzt werden sollten.
"Einmal sehr besonders ist, dass das Zertifikat signiert ist, mit einem Zertifikat, das gestohlen wurde von der Firma Realtek und noch ein weiteres von der Firma Jmicron. Das zweite besondere ist, dass es ein sehr, sehr stabiler Angriffscode ist. Die dritte Besonderheit, die sicherlich für den größten Hype gesorgt hat, ist, dass es der erste Trojaner ist, der aufgetaucht ist, der Scada-Systeme angreift. Und der Programmcode ist sehr groß und wir werden weiter schauen müssen, was da passiert. Wir haben noch nicht alles analysiert."
Wie die Zertifikate entwendet und missbraucht werden konnten, ist derzeit noch völlig unklar. Auch die Art des Befalls lässt rätseln. Bislang befielen Viren immer wahllos Rechner, meist auf dem Weg über das Internet. Stuxnet jedoch infizierte zielgerichtet, übertragen über Massenspeicher wie einem USB-Stick, eine ganz spezielle Art Computer: Industriell genutzte Windows-Rechner, die mit dem Steuersystem Scada von Siemens ausgerüstet sind. Gezielt scheint auch die Verbreitung: Vor allem Systeme in Indien, Indonesien und im Iran sind betroffen. Erstmals entdeckt wurde er vom weißrussischen Unternehmen Virus Blok Ada.
"Seit Ende Juni hatten wir sehr viele Support-Anfragen aus dem Mittleren Osten. Zudem meldete unser Tracking-System viele Erst-Erkennungen. Anfang Juli gab es dann die erste Infektion auch in Weißrussland. Digital signierte Schadsoftware haben wir nicht oft. Umso verwunderter waren wir, dass diese von der bekannten Firma Realtek unterzeichnet war. Danach haben wir viel Zeit in die Analyse der Windows-Schwachstelle gesteckt",
erklärt Sergei Ulasen, Leiter der Analyseabteilung der weißrussischen Firma. Die Experten stießen schnell an Grenzen. Nicht nur war Stuxnet mit einem validen Zertifikat versehen, der Programm-Code ist außerdem hochkomplex und teilweise verschlüsselt. Daher ist noch unbekannt, was Stuxnet bezweckt oder welche Schäden er anrichtet. In einer Stellungnahme des BSI heißt es – Zitat:
"Dem BSI liegen keine Erkenntnisse vor, was mit dieser Schadsoftware bezweckt wird. Sie ist so komplex und analyseresistent, dass die Funktionen erst langsam ausgewertet werden können. Die Schadsoftware ist sehr aufwendig mit viel Detailwissen auch der Opferprogramme programmiert. Dabei ist zwischen dem Infektionsweg über USB mit der Microsoft-.lnk-Datei und der eigentlichen Schadfunktion mit dem Angriff auf die Siemens-Software zu unterscheiden. Derzeit geht die größte Gefahr von der lnk-Schwachstelle aus."
Stuxnet besteht aus zwei Teilen. Der erste sorgt für den Zugang zum Rechner und ist bisher nur in Teilen enträtselt. Frank Boldewin erklärt, wie dieser Teil arbeitet und was ihn von bisherigen Viren unterscheidet.
"Er funktioniert unter allen möglichen Windows-Betriebssystemen. Er nutzt keine Schwachstelle aus, wie es in der Regel der Fall ist, dass man zum Beispiel über einen Pufferüberlauf Kontrolle über einen bestimmten Prozess bekommt. Diese Angriffe sind oft nicht so stabil, dass sie unter allen Betriebssystemen laufen. Und diese Schwachstelle tut es eben, weil sie eben nicht ein ganz normalen Pufferüberlauf als Schwachstelle ausführt, sondern sie nutzt eine Art Logikfehler, der dazu führt, dass die, diese Shortcuts sind ja diese Links auf die Icons im Windows, und dort wird quasi bei der Interpretation dieser Bilder Programmcode ausgeführt aufgrund eines logischen Fehlers."
Die zweite Komponente enthält das eigentliche Schadprogramm. Von diesem ist bisher nur bekannt, dass es ein eigentlich geheimes Passwort des Siemens Scada-Systems nutzt. In einer Stellungnahme erklärt der Hersteller gegenüber dem Deutschlandfunk – Zitat:
"Was allgemein als gesetztes Standardpasswort bezeichnet wird, ist vergleichbar mit einer Computeradresse, unter der die verschiedenen Informationen zusammengetragen werden. Lediglich die systeminterne Authentifizierung von WinCC zur Microsoft SQL-Datenbank erfolgt mit diesen fest vorgegebenen Zugangsdaten."
Die bisher betroffenen Systeme stehen nicht in Privathaushalten, sondern werden von verschiedensten Zweigen der Industrie genutzt. Einige dieser Maschinen steuern Fertigungstraßen für Autos oder Flugzeuge. Aber auch in Atomkraftwerken kommen Scada-Systeme zum Einsatz, sagt Frank Boldewin. Die Situation ändert sich aktuell. Die Angriffskomponente von Stuxnet wird mittlerweile auch von anderen Kriminellen genutzt. Seit Donnerstag sind weitere Varianten von Stuxnet via Internet im Umlauf. Eine installiert einen sogenannten Keylogger auf den befallenen Rechnern. Dieser soll Passwörter und Kreditkarten-Daten sowie Onlinebanking-Informationen abfischen. Diese neue Variante könnte auf breiter Front erfolgreich sein. Schließlich ist die Sicherheitslücke auf allen Windows-Betriebsystemen ab Windows XP vorhanden. Dennoch gibt Microsoft vorsichtig Entwarnung:
"Momentan laufen die Angriffe sehr gezielt und zielen auf Firmenanwender. Das ist aber so, weil die Angreifer in der komfortablen Lage sind, sich ihre Ziele aussuchen zu können. Die Zielgruppe kann sich also in der Zukunft ändern, so dass auch der normale Verbraucher betroffen sein könnte. Wir haben es derzeit nicht mit Wellen, wie bei Blaster oder Sasser zu tun."
Sowohl Microsoft als auch Siemens arbeiten im Moment fieberhaft an einer Lösung der Probleme. Beide Unternehmen stellten in dieser Woche provisorische Schutzmaßnahmen bereit, die dringend umgesetzt werden sollten.