Der gefährlichste Virus des Jahrzehnts Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


21.10.2010 Edmund E. Lindau

Der gefährlichste Virus des Jahrzehnts

Anders als viele Computerviren hat es der Stuxnet-Virus nicht auf klassische PC abgesehen, um dort Passwörter oder Kreditkartendaten zu stehlen, sondern auf industrielle Steuerungen um dort komplexe Veränderungen mit fatalen Folgen auszulösen.

In den Augen der finnischen IT-Sicherheitsexperten von F-Secure ist der Stuxnet-Virus als eine der »wichtigsten Malware-Entwicklungen des Jahrzehnts« anzusehen. Er hat mittlerweile hunderttausende von Computern weltweit infiziert. Auch der Iran ist von einer großen Anzahl von Infektionen betroffen, die zu Spekulationen führten, eine unbekannte Regierung hätte Stuxnet in Auftrag gegeben, um das iranische Atomprogramm zu sabotieren. Die Sicherheitsforscher aus dem F-Secure-Labor sind auf wichtige Fragen zum Stuxnet-Wurm eingegangen.

Was ist Stuxnet? Es handelt sich um einen Windows-Wurm, der sich über USB-Sticks verbreitet. Wenn sich der Wurm einmal innerhalb eines Netzwerkes eingenistet hat, dann repliziert er sich über gemeinsame Netzwerklaufwerke weiter, die nur schwache Passwörter besitzen.

Kann sich der Wurm auch über andere Wechselmedien verbreiten? Der Wurm kann sich über alles verbreiten, was an einen Rechner als Laufwerk angeschlossen werden kann. Es spielt dabei keine Rolle, ob es sich um ein externes USB-Laufwerk, ein Mobiltelefon oder einen digitalen Bilderrahmen handelt.

Was passiert im Anschluss? Er infiziert das System, nistet sich mit einem Rootkit ein und überprüft, ob der infizierte Rechner mit der Industrieanlage Siemens Simatic (Step7) verbunden ist.

Was bedeutet das für Simatic? Stuxnet modifiziert ausgehende Befehle von einem Windows-Rechner an ein PLC und sucht nach einer speziellen industriellen Ausstattung. Ist Stuxnet bei der Suche erfolglos, tritt er auch nicht weiter in Erscheinung.

Welche Auswirkung hat Stuxnet auf Industrieanlagen? Stuxnet nimmt sehr komplexe Veränderungen am System vor. Die Auswirkungen dieser Veränderungen sind dabei davon abhängig, wie die Industrieumgebung aussieht.

Wie könnten von Stuxnet verursachte Schaden aussehen? Stuxnet könnte Motoren überhitzen, Förderbänder anhalten oder Pumpen abschalten und damit eine ganze Anlage lahmlegen. Mit den richtigen Modifikationen könnte Stuxnet auch Gegenstände zur Explosion bringen.

Warum wird Stuxnet als sehr komplex und gefährlich angesehen? Es nutzt mehrere Schwachstellen für die Infektion eines Systems aus und kopiert zudem eigene Treiber auf das infizierte System.

Wie kann Stuxnet einen eigenen Treiber installieren? Müssen solche Treiber-Dateien nicht bei Microsoft Betriebssystemen signiert sein? Der Stuxnet Treiber wurde mit gestohlenen Zertifikaten der Realtek Semiconductor Corporation signiert.

Wurde das gestohlene Zertifikat mittlerweile gesperrt? Ja. Verisign hat das gestohlene Zertifikat am 16. Juli 2010 für ungültig erklärt, eine modifizierte Variante von Stuxnet mit einem ebenfalls gestohlenen Zertifikat von der Jmicron Technology Corporation ist aber am 17. Juli 2010 aufgetaucht.

Gibt es einen Zusammenhang zwischen Realtek und Jmicron? Eigentlich nicht. Aber beide Unternehmen haben ihren Hauptsitz im gleichen Bürokomplex in Taiwan.

Welche Schwachstellen nutzt Stuxnet aus? Es sind insgesamt fünf Schwachstellen, die Stuxnet ausnützt. Davon vier, die als Zero-Day Exploits galten: LNK (MS10-046), Print Spooler (MS10-061), Server Service (MS08-067), Ausnutzung von Nutzer-Privilegien über die Tastatur-Layout-Datei und Ausnutzung von Nutzer-Privilegien über den Taskplaner.

Und Microsoft hat diese Schwachstellen mittlerweile behoben? Bis auf die beiden Schwachstellen, die die Privilegien ausnutzen, ja.

Warum hat es so lange gedauert, bis Stuxnet im Detail analysiert werden konnte? Stuxnet ist außerordentlich komplex und mit über 1,5 Megabyte zudem noch ungewöhnlich groß.

Wann ist Stuxnet das erste Mal in Erscheinung getreten? Im Juni 2009, oder sehr wahrscheinlich schon früher. Einige Komponenten von Stuxnet wurden beispielsweise schon im Januar 2009 kompiliert.

Und wann wurde der Wurm erstmals entdeckt? Ungefähr ein Jahr später, im Juni 2010.

Wurde Stuxnet durch eine Regierung programmiert? Danach sieht es aus, ja. Wir wissen aber nicht, welche Regierung Stuxnet in Auftrag gegeben hat.

Stimmt es, dass sich Stuxnet auf die Bibel bezieht? Es gibt einen Bezug auf »Myrtus«, die Pflanze Myrte. Allerdings ist dieser Bezug im Code auch nicht versteckt. Es ist eher ein Artefakt, das beim Compile-Vorgang des Codes hinterlassen wurde. Im Grunde genommen sagt es nur aus, wo die Autoren den Code auf deren Systemen gespeichert haben. Die ausdrückliche Pfadangabe innerhalb von Stuxnet ist: myrtussrcobjfre_w2k_x86 i386guava.pdb. Die Autoren von Stuxnet wollten vielleicht gar nicht, dass ihr Codename von Stuxnet bekannt werden sollte. Aber dank dieses Artefaktes wissen wir es nun. Solche Artefakte sind nicht selten bei Malware. Die Attacke »Operation Aurora« gegen Google wurde landläufig so genannt, weil der folgende Pfad innerhalb einer der Binaries gefunden wurde: Aurora_Src AuroraVNCAvcReleaseAVC.pdb.

Könnte es eine andere Bedeutung haben? Könnte es! Beispielsweise »My RTUs«. RTU ist eine Abkürzung für »Remote Terminal Units«, wie sie in Industrieanlagen zum Einsatz kommen.

Wie erkennt Stuxent, ob es einen Rechner bereits infiziert hat? Stuxnet markiert seine Infektionen anhand eines Registrierungsschlüssels und mit dem Wert »19790509«.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • VOQUZ Technologies GmbH

    VOQUZ Technologies GmbH Öffentliche Verwaltung, Maschinen- und Anlagenbau, Finanzdienstleistungen, Qualitätssicherung, Product Lifecycle Management (PLM), Mobile Lösungen und Applikationen, Management Informationssysteme (MIS),... mehr
  • ectacom GmbH

    ectacom GmbH Aus- und Weiterbildung, IT-Asset- und Lizenzmanagement, Übernahme von Softwareprojekten, Datenschutz, Antiviren- und Virenscanner Software, Backup und Recovery Systeme, Firewalls,... mehr
  • NAVAX Unternehmensgruppe

    NAVAX Unternehmensgruppe Wasser- und Energieversorgung, Vereine und Verbände, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Maschinen- und Anlagenbau, Konsumgüterindustrie, Immobilien,... mehr
  • eyepin GmbH

    eyepin GmbH Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, Programmierung, Übernahme von Softwareprojekten mehr

Hosted by:    Security Monitoring by: