Cyberwarfare gegen den Iran: Stuxnet

An error is seen on a computer screen of Bushehr nuclear power plant's map in the Bushehr Port on the Persian Gulf, 1,000 kms south of Tehran, Iran on February 25, 2009. (UPI Photo/Mohammad Kheirkhah)Stuxnet ist ein Computerschädling (Wurm oder Trojaner), der gemäss Angaben von Symantec im Januar 2010 den ersten Computer infiziert hatte, aber erst im Juni 2010 von VirusBlokAda in Weissrussland entdeckt wurde. Beim entdeckten Trojaner handelte es sich bereits um eine neuere Variante: Symantec ist in Besitz einer älteren Version, die offensichtlich im Juni 2009 erstellt wurde, sich jedoch nicht gravierend von der neueren Version unterscheidet. Ob die ältere Variante auch wirklich zum Einsatz kam, ist unklar (Quelle: Robert McMillan, “Stuxnet Industrial Worm Was Written Over a Year Ago“, PCWorld, 04.08.2010). Stuxnet infiziert alle möglichen Versionen von Microsoft Windows (von uralt bis zu Windows 7), wobei er mit seinem Rootkit gezielt industrielle Steuerungssysteme von Siemens (SIMATIC S7-300 Serie und SIMATIC S7-400 Serie) angreift, die beispielsweise in chemischen Fabrikationsanlagen, Kraftwerken usw. zum Einsatz kommen. Stuxnet versucht den Code des Steuerungssystems sowie weitere Informationen zur Anlage herunterzuladen und verändert die Programmierung des Programmable Logic Controllers (PLC). Wenn ihm das gelingt, kann Stuxnet die Funktionsweise der Anlage manipulieren. Ob er damit auch falsche Anzeigen auf der Benutzeroberfläche WinCC generieren und so die Steuerung der Anlagen durch das Bedienpersonal stören bzw. verunmöglichen kann, ist momentan noch unklar (Quelle: Frank Rieger, “Der digitale Erstschlag ist erfolgt“, FAZ, 22.09.2010). Damit ist Stuxnet der erste öffentlich bekannte Computerschädling, welcher einen PLC infiziert. Gemäss Analyse von Symantec handelt es sich bei den Programmierern um gut ausgebildete und ausgestattete Experten. Stuxnet nutzt vier brandneue, unpublizierte Sicherheitslücken (Zero Day Exploit) bei Windows aus, was bis dahin noch nie von einem Schädling geschafft wurde. Unter anderem nutzt der Trojaner eine Sicherheitslücke des Printer-Spoolers, um sich von einer Windows-Maschine zur anderen zu kopieren. Ausserdem verbreitet sich der Trojaner über entfernbare Datenträger. Ein .lnk-File auf dem Datenträger verweist auf eine Kopie des Trojaners auf dem selben Datenträger. Wenn dieser Datenträger nun an einen Computer angeschlossen wird und eine Applikation (beispielsweise Windows Explorer) das Icon des Datenträger anzeigt, wird durch einen Konstruktionsfehler in Windows das .lnk-File unbemerkt den Trojaner starten. Ähnlich verhält sich Stuxnet auch, wenn er sich auf einem freigegebenen Netzlaufwerk oder auf WebDAV befindet und dieses angezeigt wird. Nicht einmalig, aber trotzdem bemerkenswert ist, dass Stuxnet im benutzten Rootkit die (gestohlene) Signaturen der beiden taiwanischen Chiphersteller Realtek und JMicron verwendet.

The malware originally distributed with this flaw is not a big concern unless you run a nuclear power plant and Homer Simpson is using Windows and clicking whatever he pleases (D’oh!). — Chester Wisniewski, “Windows zero-day attack works on all Windows systems“, Sophos, 16.07.2010.

Bei Stuxnet sind zwei eigentlich gegensätzliche Absichten erkennbar: Einerseits ist der Trojaner so konzipiert, dass er durch Ausnutzung von Schwachstellen maximal verbreitet wird, andererseits kopiert er sein Rootkit nur auf sehr spezifische Steuerungssysteme von Siemens. Der Angreifer scheint sicherstellen zu wollen, dass die Zielanlage mit höchster Wahrscheinlichkeit infiziert wird, aber gleichzeitig ausschliessen, dass der PLC anders gesteuerter Anlagen angegriffen wird. Gemäss Frank Rieger, vom Chaos Computer Club würden Die Verbreitung von Stuxnet im Juli 2010die Angreifer über hochpräzise Informationen zum Aufbau der Anlage und der darin verwendeten Software verfügen. Ohne exakte Kenntnisse der Konstruktionsdetails und der Art des Zusammenwirkens der einzelnen Komponenten der Steuerungssysteme von Siemens sei ein Angriff dieser Präzision unmöglich. Die Entwicklung sowie der Ankauf der notwendigen Angriffskomponenten in dieser Qualität und Zuverlässigkeit verursache Kosten im siebenstelligen Euro-Bereich. Am stärksten betroffen von Stuxnet scheint der Iran zu sein, da in iranischen Industrieanlagen Siemens-Produkte bevorzugt eingesetzt werden (übrigens auch bei den Zensurmassnahmen). Am Samstag, 25.09.2010 bestätigte ein IT-Experte des iranischen Ministeriums für Bodenschätze, dass über 30’000 Computer infiziert seien. Für Rieger kommt als Angreifer nur ein Staat in Frage, der gezielt versucht die iranische Nuklearanlagen anzugreifen.

However, if someone proposed this type of attack a month ago, while we would have agreed it was theoretically possible, most would have dismissed such an attack as a movie-plot scenario. [...] We know that the people behind this attack aren’t amateurs, but their final motive is unclear. — Patrick Fitzgerald, “The Hackers Behind Stuxnet“, Symantec, 21.06.2010.

Bereits Ende April 2007 erfolgte nach estnisch-russischen Auseinandersetzungen mit dem Umgang russischer Kriegsdenkmäler ein grossangelegte Cyberangriff auf Estland, welcher hauptsächlich auf Distributed Denial of Service Attacken basierte. Die Attacken auf das Eidgenössisches Departement für auswärtige Angelegenheiten (EDA) im Oktober 2009, bei dem die Angreifer versuchten ins Netzwerk einzudringen und an Daten zu gelangen, war vergleichsweise eher harmlos: Als Gegenmassnahme schottete sich das EDA kurzzeitig vom Internet ab. Die Attacke auf das EDA hing vermutlich mit den schweizerisch-libyschen Spannungen zusammen. Der gezielte Angriff auf Steuerungssysteme ist jedoch eine absolut neue Dimension eines Cyberangriffs. In diesem Zusammenhang gibt die Verwundbarkeit der Netzwerkinfrastruktur des Eidgenössische Departements für Verteidigung, Bevölkerungsschutz und Sport (VBS) etwas zu denken: Gemäss eigenen Angaben ist die Schweizer Armee momentan nicht in der Lage, einen professionellen Hacker-Angriff auf der eigenen Infrastruktur zu detektieren und eine adäquate, zeitgerechte Reaktion darauf auszulösen (Quelle: Daniel Möckli, “Cyberwar: Konzept, Stand und Grenzen“, CSS Analysen zur Sicherheitspolitik, Nr. 71, April 2010). Weltweit nimmt das Thema Cyberwarfare bei den Militärs an Wichtigkeit zu. Auch Korpskommandant André Blattmann, Chef der Armee sieht anfangs September 2010 den Cyberwarfare als “die aktuell gefährlichste Bedrohung” (Quelle: Korpskommandant André Blattmann, “Die Qualität unserer Soldaten erreichen Sie in keinem anderen Land“, Migros-Magazin, Ausgabe 36, 06.09.2010, p. 34-39.). Bereits 2005 schloss die Schweizer Armee eine zweijährige Konzeptstudie “Information Operations” ab. Darauf basierend sollte bis 2012 ein Verband “Informationsoperationen” mit 500-600 Spezialisten geschaffen werden. Wegen Unklarheiten im rechtlichen, doktrinalen und finanziellen Bereich wurde der Aufbau eines Armeestabsteils für “Operationelle Informationsführung” im Sommer 2007 zurückgestellt, was zu einer Verzögerung von mindestens 3 Jahren führte. Gemäss einem Gutachten über Rechtsgrundlagen für Computernetzwerkoperationen durch Dienststellen des VBS befindet sich im Zentrum Elektronische Operationen (ZEO ) der Führungsunterstützungsbasis der Armee derzeit zwei Bereiche, die sich mit dem Thema Cyberwar befassen. Einerseits soll die Armee ihre Systeme und Netze überwachen sowie gegebenenfalls Alarm auslösen können (Computer Network Defense; CND) andererseits soll die Armee befähigt werden, in einem Aktivdienst in fremde Netzwerken einzudringen und Informationen auszuspionieren (Computer Network Exploitation; CNE) sowie deren Integrität zu beeinträchtigen (Computer Network Attack; CNA) (Quelle: Daniel Möckli, “Cyberwar: Konzept, Stand und Grenzen“, CSS Analysen zur Sicherheitspolitik, Nr. 71, April 2010).

Bildverzeichnis
Oben links: An error is seen on a computer screen of Bushehr nuclear power plant's map in the Bushehr Port on the Persian Gulf, 1,000 kms south of Tehran, Iran on February 25, 2009. (UPI Photo/Mohammad Kheirkhah).
Mitte rechts: Im Juli 2009 wurden schwergewichtig iranische Computeranlagen von Stuxnet infiziert.

Weitere Informationen

This entry was posted in Cyberwarfare, Switzerland.

16 Responses to Cyberwarfare gegen den Iran: Stuxnet

  1. Pingback: Sicherheitspolitische Veränderungen und Konsequenzen für die Schweizer Armee – Teil 1 | Offiziere.ch

  2. Es gibt neue Details über den Stuxnet-Angriff: Symantec fand durch Analyse des Codes heraus, dass Stuxnet darauf ausgerichtet ist, die Steuerung der Frequenzumrichter zu manipulieren und so die Drehzahl eines Motors zu beeinflussen. Die Manipulation erfolgt nur dann, wenn die Umrichter mit einer Frequenz zwischen 807 und 1210 Hz arbeiten. Eine solch hohe Frequenz finden wir beispielsweise bei den Zentrifugen der Urananreicherung. Damit wird der industrielle Prozess sabotiert, für den der Motor eingesetzt wird (Quelle: Eric Chien, “Stuxnet: A Breakthrough“, Symantec, 12.11.2010). Die Hinweise, dass Stuxnet gezielt die Urananreicherungsanlage in Natanz sabotiert haben sollte, verdichten sich also.

  3. Pingback: NATO Gipfel in Lissabon | Offiziere.ch

  4. Pingback: 27C3 – Tag 1 – don’t lost the war | Offiziere.ch

  5. Es gibt einige Hinweise, dass Stuxnet eine US-amerikanisch-israelische Gemeinschaftsarbeit gewesen sein könnte. Es ist klar, dass sich dazu niemand namentlich bekennt und deshalb sind solche Vermutungen, die auf anonyme Quellen beruhen, mit allergrösster Vorsicht aufzunehmen.

    Experten, welche Stuxnet untersuchten, sind sich einig, dass zur Programmierung des Schadcodes fundamentale Kenntnisse über industrielle Steuerungssysteme von Siemens erforderlich waren. Anfangs 2008 arbeiteten das US Department of Homeland Security, das Idaho National Laboratory und Siemens zusammen, um Schwachstellen in PCS-7 Systemen zu identifizieren – Systeme, welche in der Urananreicherungsanlage in Natanz eine Schlüsselrolle spielen. Auch wenn diese Zusammenarbeit womöglich zum Schutz der eigenen Systeme gedacht war, konnte so wertvolles Know-How zur Programmierung von Stuxnet gewonnen werden. Einige der Schwachstellen wurden in einer Präsentation durch das Idaho National Laboratory und Siemens im Juli 2008 vorgestellt (die Präsentation verschwand vor kurzem von der Siemens-Website). Interessanterweise fällt die Zusammenarbeit auf den Zeitpunkt, bei dem gemäss einem Artikel der New York Times vom 10. Januar 2009 unter dem damaligen US-Präsidenten George W. Bush ein geheimes Programm zur Sabotage der Nuklearanlagen im Iran gestartet wurde. Damit sollte aber nicht nur der Iran an der Herstellung von Nuklearwaffen gehindert werden, sondern Israel vor einem militärischen Alleingang abgehalten werden.

    The covert American program, started in early 2008, includes renewed American efforts to penetrate Iran’s nuclear supply chain abroad, along with new efforts, some of them experimental, to undermine electrical systems, computer systems and other networks on which Iran relies. — David E. Sanger, “U.S. Rejected Aid for Israeli Raid on Iranian Nuclear Site“, The New York Times, 10.01.2009.

    Gemäss Avner Cohen verfügt Israel zum Testen von Stuxnet im Negev Nuclear Research Center, 13 Kilometer südöstlich von Dimona, über P-1 Zentrifugen, die auch in Natanz eingesetzt werden. Auch die USA verfügten über solche Zentrifugen (2003 von Libyen übernommen), hatten jedoch mit der Inbetriebnahme kein Erfolg. Gemäss anonymen Quellen aus Nachrichtendiensten und Militär werde in diesem israelischen nuklearen Forschungszentrum seit zwei (oder drei) Jahren an Stuxnet gearbeitet. Dabei hätten die USA mit ihrem Know-How über PCS-7 Anlagen und Israel mit ihren P-1 Zentrifugen zusammengearbeitet. Stuxnet hat sich als sehr effektiv erwiesen und gemäss Meir Dagan, Direktor des Mossads, verschob sich die mögliche Produktion einer iranischen Nuklearbombe auf 2015.

    To check out the worm, you have to know the machines. The reason the worm has been effective is that the Israelis tried it out. — anonymer amerikanischer Experte für nukleare nachrichtendienstliche Informationen zitiert in William J. Broad, John Markoff and David E. Sanger, “Israel Tests on Worm Called Crucial in Iran Nuclear Delay“, The New York Times, 15.01.2010.

    Durch die selektive Attacke der Zentrifugen in der Urananreicherungsanlage in Natanz stellt sich auch die Motivfrage. Insbesondere Israel, die USA und die arabischen Staaten fürchten die iranische Atombombe und haben deshalb ein Interesse an der Sabotage des iranischen Atomprograms. Von den notwendigen Fähigkeiten Stuxnet zu programmieren kommen aber nur die USA und Israel in Frage.

    I’m glad to hear they are having troubles with their centrifuge machines, and the U.S. and its allies are doing everything we can to make it more complicated. — Gary Samore, Special Assistant to the President and White House Coordinator for Arms Control and WMD, Proliferation and Terrorism zitiert in William J. Broad, John Markoff and David E. Sanger, “Israel Tests on Worm Called Crucial in Iran Nuclear Delay“, The New York Times, 15.01.2010.

    Quelle: William J. Broad, John Markoff and David E. Sanger, “Israel Tests on Worm Called Crucial in Iran Nuclear Delay“, The New York Times, 15.01.2010.

  6. Kim Zetter, “Did a U.S. Government Lab Help Israel Develop Stuxnet?“, Wired, Threat Level, 17.01.2011 hat noch mehr Details zu der Suche von Schwachstellen in PCS-7 Systemen durch das US Department of Homeland Security, das Idaho National Laboratory und Siemens.

  7. Pingback: Sessionsrückblick | Offiziere.ch

  8. Die israelische Tageszeitung Haaretz berichtete, dass der bis zum 14. Februar 2011 amtierende Generalstabschef der Israelischen Streitkräfte, Gabi Ashkenazi bei seiner Abschlussfeier mit seinen Leistungen während seiner Amtszeit geprallt. Darunter lobte er die Bombardierung eines syrischen Nuklearreaktor und der Angriff auf die iranischen Nuklearanlagen mittels Stuxnet.

  9. Pingback: Die arabische Revolution fordert Israel heraus | Offiziere.ch

  10. Gut zu wissen:

    In der Schweiz wurden bisher weder in zivilen noch in militärischen Informatiksystemen Auswirkungen des Virus Stuxnet festgestellt. — Bundesrat Ueli Maurer, Sommersession 2011, 07.06.2011.

  11. Pingback: Israel hat den Krieg gegen Iran längst aufgenommen | Offiziere.ch

  12. Pingback: Zurück an der Tastatur und 28C3 Vorbereitungen | Offiziere.ch

  13. Pingback: 28C3 – Tag 1 – Behind enemy lines | Offiziere.ch

  14. Pingback: Offiziere.ch

  15. Pingback: Offiziere.ch

  16. Gemäss einem sehr ausführlichen Artikel der New York Times war Stuxnet eine US-amerikanisch-israelische Gemeinschaftsarbeit. Initiiert wurde die Operation mit Namen “Olympic Games” unter dem ehemaligen US-Präsident George W. Bush. Die Operation wurde unter US-Präsident Barack Obama weitergeführt und weiterentwickelt. Getestet wurde Stuxnet auf P-1 Zentrifugen, welche von Muammar al-Gaddafi nach der Beendigung des libyschen Nuklearwaffenprograms 2003 an die USA überführt wurden. (Quelle: David E. Sanger, “Obama Order Sped Up Wave of Cyberattacks Against Iran“, The New York Times, 01.06.2012).

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Comment Spam Protection by WP-SpamFree