Die Vorläufer des Stuxnet-Wurms: Eine frühere Version als bisher angenommen

Stuxnet 0.5: Der Sabotage-Wurm ist älter als gedacht

Die Vorläufer des Stuxnet-Wurms: Eine frühere Version als bisher angenommen

Die Entstehung des Stuxnet-Wurms reicht mindestens bis ins Jahr 2007 zurück und nicht erst bis 2009, ebenso wie bisher angenommen. Diese Erkenntnis wurde durch die Sicherheitsfirma Symantec gewonnen die bei einer routinemäßigen Untersuchung ihrer Malware-Datenbank auf eine ältere Variante des Wurms mit der Bezeichnung Stuxnet 0 stieß. Symantec führte daraufhin eine detaillierte Analyse dieser Version durch und stellte fest, dass sie bereits Jahre vor der bisher bekannten Version existierte.


Demnach soll der frühere Stuxnet-Wurm spätestens ab dem 15. November 2007 in Umlauf gebracht worden sein – um das iranische Atomprogramm zu stören. Zu diesem Zeitpunkt wurde er bei Virus Total hochgeladen um ihn zu testen. Einer der dazugehörigen Command and Control-Server soll allerdings schon am 3. November 2005 registriert worden sein.

Die frühe Variante war weniger aggressiv und verbreitete sich nach der Infektion nur über einen Weg ? 0․5 konnte ausschließlich über Siemens Step 7 Projekt-Dateien übertragen werden die eigentlich nur Entwickler austauschen. Spätere Versionen brachten Zero-Day-Exploits mit die Lücken im Windows-System ausnutzten. Dies könnte ebenfalls einer der Gründe sein, weshalb Stuxnet 0․5 zuvor nicht gefunden wurde.

Mit der Zeit wurden für Stuxnet weiterhin Infektionswege eingearbeitet.

Wie auch noch spätere Versionen hatte es 0․5 auf die Zentrifugen in Urananreicherungsanlagen abgesehen und manipulierte dafür speicherprogrammierbare Steuerungen (SPS) von Siemens. Dabei scheint Stuxnet 0․5 insbesondere die Ventil-Steuerungen sabotiert zu haben um die Verteilung von Uranhexafluorid-Gas zu kontrollieren. Ziel soll es gewesen sein: Der Druck in den Zentrifugen-Kaskaden um das fünffache erhöht wird um so die Gerätschaften zu zerstören.

Version 0․5 arbeitete dabei in acht aufeinander folgenden Schritten. Zunächst schlummerte 0․5 eine Weile im System um den normalen Betriebsverlauf und dessen Messergebnisse aufzuzeichnen. Später setzte die Manipulation der Zentrifugen-Ventile ein, bei der den Mitarbeitern vor Ort die älteren Ergebnisse vorgespielt wurden, die welche Druckerhöhung kaschierten.

Wie Wired berichtet, stellte die internationale Atomenergie-Organisation (IAEO) bei ihren Kontrollen im Iran fest, dass etwa zwischen Januar & August 2009 mehrere Produktivitäts-Einbrüche bei den Zentrifugen-Kaskaden zu verzeichnen waren auch wenn die Zahl der Zentrifugen kontinuierlich erhöht wurde. Bei dem Besuch der Kontrolleure sollen Techniker außerdem damit beschäftigt gewesen sein, Zentrifugen auszutauschen. Es ist davon auszugehen, dass die Einbrüche auf das Konto von Stuxnet 0․5 gingen.

Dass Stuxnet 0․5 bald durch neuere Versionen abgelöst werden sollte, belegen einige Daten. Der Wurm wurde so programmiert; dass er ab dem 4. Juni 2009 keine weiteren Systeme infizierte und nur noch in bereits gekaperten Maschinen aktiv war. Die Kommunikation mit den C&C-Servern wurde bereits am 11. Januar 2009 beendet.

Die Ablösung von Version 0․5 erfolgte scheinbar postwendend. Im Juni 2009 wurde Variante 1․001 aktiv - die Variante die seit längerem als die erste galt. Dieser Stuxnet konnte ältere Versionen updaten und hat dadurch wohl weitere Spuren zu der frühen Version 0․5 verwischt. Auf Variante 1․001 folgten mehr. Unter anderem fanden Forscher noch die Version 1․100 von März 2010 und die Version 1․101 von April 2010. Die verschiedenen Deklarationen ab Version 0․5 legen nahe, dass noch wesentlich mehr Versionen entwickelt diese aber nicht in die freie Wildbahn entlassen wurden.

Stuxnet 0․5 ist mancherorts noch aktiv. Symantecs Analyse des letzten Jahres deckt die breite Streuung auf.

Obwohl Stuxnet 0․5 nun schon einige Jahre auf dem Buckel hat und diese Version durch Updates auf neuere Versionen verdrängt wurde, konnte Symantec im letzten Jahr trotzdem noch einige Infektionen ausmachen. So soll Stuxnet 0․5 auch noch in deutschen Siemens-Steuerungssystemen aktiv sein.

Neben Stuxnet sollen weitere Schadprogramme wie der Spionagetrojaner Flame gezielt von den USA und Israel entwickelt worden sein um das iranische Atomprogramm zu sabotieren. Zumindest wurde dies im US-amerikanschen Wahlkampf 2012 mehrfach angedeutet.

Zuletzt aktualisiert am Uhr




Kommentare


Ähnliche News

Stuxnet 0.5: Sabotage-Trojaner war schon 2007 aktiv

IT-Sicherheitsforscher des Unternehmens Symantec entdeckten eine Version des mutmaßlich von den USA und Israel entwickelten Sabotage-Trojaners Stuxnet die bereits 2007 - zwei Jahre eher wie bisher bekannte Stuxnet-Einsätze - benutzt wurde um das Atomprogramm des Iran anzugreifen.



Flame: Teile des Quellcodes mit Stuxnet "fast identisch"

 Flame: Teile des Quellcodes mit Stuxnet

Der Quellcode des kürzlich entdeckten Spionage-Trojaners Flame weist offenbar signifikante Gemeinsamkeiten mit dem Code des auf die Sabotage von Industrie-Anlagen spezialisierten Schädlings Stuxnet auf. Viele Experten vermuten nun; dass die Entwickler der beiden Trojaner kooperierten.


Wurde auch Flame von den USA und Israel entwickelt?

Der Trojaner Flame wurde angeblich als Spionage-Werkzeug durch die Behörden der USA und Israels entwickelt. Das berichtet die US-Zeitung "Washington Post" unter Berufung auf anonyme Quellen im Umfeld des entsprechenden Projekts.



Anzeige