Stuxnet

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

Stuxnet ist ein Computerwurm, der die Siemens-Steuersoftware WinCC angreift. WinCC ist ein Prozesssteuerungsprogramm und steuert Betriebsabläufe. Es wird als Client-Server-System ausgeliefert, das auf verschiedenen Versionen des Betriebssystems Microsoft Windows läuft (z.B. Windows XP, Windows Server 2003, Windows Server 2008).

Was ist "Duqu"?

Forscher entdeckten einen Trojaner, der zahlreiche Parallelen zu Stuxnet aufweist. Duqu wurde bislang nur für gezielte Angriffe eingesetzt. Die Installationsroutine war im August 2011 für acht Tagen scharf geschaltet. Ziel von Duqu scheint das Ausspionieren von Industriesteueranlagen zu sein. Dies könnte bedeuten, dass die Angreifer Firmengeheimnissen ausspionieren wollen oder möglicherweise neue Attacken auf Industriesteueranlagen planen[1]. Mittlerweise wurde von Microsoft ein Update zur Abwehr von Duqu bereitgestellt[2]. Mitte 2015 wurde ein neue Version gesichtet, die sogar ein Netzwerk der Sicherheitsfirma Kaspersky infiltrierte[3]. Dabei war die Spionage-Software mit einer gültigen digitalen Signatur des Auftragsfertigers Foxconn versehen[4].


Einordung

Ein Computerwurm (kurz Wurm) ist ein sich selbst reproduzierendes Programm oder Skript.


Besonderheiten

Mit Stuxnet ist erstmalig eine auf Prozesssteuerungssysteme spezialisierte Schadsoftware programmiert worden. Es wurden mehrerer Schwachstellen in Microsoft Windows ausgenutzt und gültige Zertifikate verwendet. Bei einer Infektion wird im Prozesssteuerungssystem ein Scanner installiert. Dieser sucht nach speziellen Datenpaketen zur Steuerung von Motoren und manipuliert sie.

Aufmerksamkeit erregte die vermutete Einschleusung von Stuxnet in Anlagen der iranischen Urananreicherungsanlage Natanz im Jahr 2011. Diese Annahme wird genährt durch die spezifischen Eigenschaften von Stuxnet, nur eine bestimmte Siemens-Prozesssteuerung anzugreifen und im weiteren auch nur zwei bestimmte Motorsteuerungen (genutzt in entsprechenden Zentrifugen) zu sabotieren.

Durch die Whistleblowing-Enthüllungen des pensionierten US-Generals James Cartwright wurde im Sommer 2013 bekannt, dass der US-Geheimdienst NSA zusammen mit Israel Stuxnet entwickelt hat, um das Atomprogramm des Irans zu sabotieren. Durch Nachlässigkeit sei dann vermutlich eine Weiterverbreitung über USB-Sticks auch außerhalb Irans passiert.


Verbreitung

Stuxnet versucht sich über ein USB-Speichermedium zu installieren. Danach werden je nach Betriebssystem mehrere Varianten des Schadcodes ausgeführt. Der eigentliche Schadcode installiert sich danach in einem eigenen, vertrauenswürdig eingestuften Prozess. Nach Aussage der Forscher ist Stuxnet dadurch in der Lage, sich zu aktualisieren. Desweiteren wird/wurde ein Fehler im Druckerspooler und ein Pufferüberlauf ausgenutzt.


Bedeutung

Bei dem Wurm handelt es um die Kombination mehrerer Verfahren, die nach Expertenmeinung bei verantwortlichem Handeln keine Gefahr darstellen. Das BSI und die Firma Siemens haben zur Erkennung und Beseitigung Handlungsemfpehlungen herausgegeben.

Steht der Datendiebstahl meist im Blickpunkt der Sicherheitsveranwortlichen, so ist bei SCADA (englisch Supervisory Control and Data Acquisition) Anlagen wie WinCC, die Überwachung und Steuerung technischer Prozesse zu betrachten.

SCADA-Anlage galten bis zu dem Angriff als sicher. Das Beispiel "Stuxnet" hat gezeigt, dass Betreiber solcher Anlagen dies kritisch hinterfragen sollten, da durch gleichartig werdende Softwarebasis (hier Windows Betriebssystem für WinCC) und das Einfallstor USB-Stick sich die Sicherheitsgefährdungen trotz unterschiedlichster technischer Systeme immer mehr angleichen. Meist sind dies Energieversorger oder andere heute als "Kritische Infrastrukturen" einzustufende Anlagen. Eine zunehmende Vernetzung von Steuerungsanlagen erhöht daneben das Risiko eines Schadens. Laut Untersuchung des ICS-Cert[5] sind weitere Lücken in WinCC gefunden worden[6].


Weblinks


Einzelnachweis

  1. Heise Online vom 02.11.2011 "Duqu nutzt bislang unbekannte Lücke im Windows-Kernel"
  2. Heise Online vom 13.12.2011 "13 Vor-Weihnachts-Patches von Microsoft"
  3. SecuPedia Aktuell: Duqu ist zurück
  4. Heise Online vom 16.06.2015 "Trojaner im Kaspersky-Netz hat Signatur von Foxconn"
  5. Industrial Control Systems Cyber Emergency Response Team (engl.)
  6. Heise Online vom 19.05.2011 "Präsentation neuer SCADA-Schwachstellen vertagt"


Siehe übergeordnete Stichworte


Siehe auch



Diese Seite wurde zuletzt am 8. März 2017 um 13:28 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Peter Hohl und Markus Albert.

Anzeigen