RSA Conference 2013

Symantec entdeckt fehlendes Stuxnet-Puzzleteil

27.02.2013
Von 


Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.
Der Spionage-Trojaner Stuxnet war bereits 2007 im Einsatz - allerdings mit einem völlig anderen Angriffsmechanismus als seine Nachfolger, die im Jahr 2010 unter anderem iranische Atomanlagen befielen.

Diese neue Erkenntnis gab Francis de Souza, Produktmanager beim Sicherheitsanbieter Symantec zu Beginn der RSA Conference gestern in San Francisco bekannt. Symantec habe demnach die älteste bekannte Version der Stuxnet-Malware mit der Versionsnummer 0.5 entdeckt und entschlüsselt. Stuxnet 0.5 baue auf der Flame-Entwicklerplattform auf und arbeite mit Code, der in späteren, bisher bekannten Versionen ausgetauscht worden sei. Aus den Untersuchungen der frühen Version ließen sich neue Erkenntnisse über die Funktionsweise von Stuxnet im Umfeld von SCADA-Steuerungssystemen, wie sie unter anderem in iranischen Atomaufbereitungsanlagen eingesetzt wurden, ableiten, so de Souza. Die Malware griff die Ventilsteuerung der Zentrifugen zur Urananreicherung in einer Weise an, dass die befallenen Ventile den Fluss von Uranhexafluorid-Gas in den Zentrifugen stoppten. Schweren Schäden an den Zentrifugen und dem gesamten Anreicherungssystem waren die Folge, erklärte der Symantec-Manager. Der Fund lasse vermuten, dass die Arbeiten am Stuxnet-Projekt bereits im Jahr 2005 oder noch früher begannen.

Die späteren Versionen der Malware griffen die Zentrifugen auf andere Weise an: Sie störten den Anreicherungsprozess, indem sie die Drehgeschwindigkeit langsam erhöhten oder senkten. Die entsprechenden Stuxnet-Schädlinge wurden im Juli 2010 entdeckt, als sie sich über das eigentliche Ziel, die Uran-Anreicherungsanlage im iranischen Natanz hinaus verbreiteten.

Während laut Symantec allgemein davon ausgegangen werde, dass diese weiterentwickelte Malware die Arbeit in Natanz schwer beeinträchtigte, sei noch unklar, ob auch die frühere Version ihr Ziel erreichte. Ebenso weiterhin ungeklärt ist die Frage nach dem Urheber: Mutmaßlich stecken Regierungsbehörden der USA und Israel hinter der Entwicklungsplattform, aus der neben Stuxnet auch die "Flame"-Malware, die im Jahr 2011 ins Licht der Öffentlichkeit geriet, hervorgegangen ist.