Stuxnet ist einer der ersten Cyberwar Computerwürmer, der bis heute entdeckt wurde.
Die erste Bezeichnung war RootkitTmphider. Dieses Schadprogramm wurde extra für ein System zu Steuerung und Überwachung technischer Prozesse (Scada-System) der Firma Siemens entwickelt.
Kosten für die Entwicklung : ca. 50 bis 100 Millionen Dollar. Das Ziel dieses Wurm ist die Sabotage der Leittechnick einer Anlage zur Uran-Anreicherung im Iran. Sehr wahrscheinlich wurde so die Geschwindigkeit von Uranzentrifugen im iranischen Atomkraftwerk Busher manipuliert damit diese beschädigt wurden. Teheran informierte am 23. Februar 2011 die IAEA, dass 163 Brennelemente aus dem Reaktor entfernt werden mussten.
videoupdate 10.3.2013 aufgrund SRF Tagesschau Beitrag vom 21.2.2013:
Stuxnets Eigenschaften
Aufgrund seiner Komplexität gilt der Stuxnet Wurm bis heute als einzigartig. Der Wurm besitzt einen extrem hohen Entwicklungsaufwand. Mit einer Testumgebung für Software und Hardware, beträgt der Zeitaufwand für die Entwicklung mindestens 6 Monate. Für dieses Projekt werden ca. 10 Hauptentwickler und zusätzliches Personal benötigt. Auch müssen den Entwicklern geheime Informationen von zwei verschieden Firmen bekannt sein! Auch unbekannte Sicherheitslücken der Siemens Software müssen gefunden werden. Es wird spekuliert, dass der Wurm über USB-Sticks verbreitet wurde. Nach meiner Meinung wäre es aber auch möglich, dass Cyberwar-Hacker einen privaten oder geschäftlichen Computer eines Mitarbeiters infiziert haben. Oder allgemein einen Computer der sich im Iranischen Netzwerk befindet.
Vorgehensweise der Wurms
-Unbekannte Sicherheitslücken von Windows 2000 bis zu Windows 7 wurden ausgenützt.
Auch Windows Server 2008 R2 blieb nicht verschont.
-In allen Systemen wird ein Rootkit mit Hilfe gestohlener digitaler Signaturen der taiwanesischen Hardware Hersteller Realtek und Kmicron Technology installiert.
-Installation eines weiteren Rootkit in der Steuerung einer PC7 Anlage (SPS Programmable Logic Controller).
Infektions Wege
Stuxnet greift nur Simatic S7 Anlagen an, die eine bestimmte Konfiguration aufweisen.
Mögliches Angriffszenario. Stuxnet versucht nach der Erstinfektion sich innerhalb des LANs zu verbreiten. Er sucht gezielt nach Field Pgs. Hat der Wurm solche gefunden, werden alle STEP7 Projektordner und die Win CC Libary infiziert. Wird dann ein solches PG mit einer Steuerung verbunden, versucht Stuxnet dessen Programmierung zu verändern. Natürlich sind diese Veränderungen vor den Operatoren versteckt. Deshalb ist Stuxnet auch ein PLC Rootkit. So ist eine neue Maleware enstanden: ein RootKit-Wurm. Ich nenne ihn mal RootWurmKit. Der Stuxnet Code ist extrem gross. Er kann sich sogar Updaten, per Peer to Peer Mechanismus, ohne eine dauerhafte Internetverbindung. Zusätze Funktionen sind Anbindungen an einen Bootnet.
Verhalten von Stuxnet auf dem Computer
Dieser Wurm speichert bei jeder Infizierung folgender Daten :
Die Namen der infizierten Step 7 Projekte.
Die Namen der Computer und der Windows Umgebung und Domäne.
Die Ip Adressen des Netzwerks.
Serial Nummern und Service Packs des Betriebsystems.
Der Zeitpunkt der Infektion.
Stuxnet prüft durch eine Get Anfrage über Port 80 an http://www.windowsupdate.com und http://www.msn.com, ob eine Internetverbindung besteht. Bei offener Internetverbindung werden die Schnüffel-Daten an die Adressen http://www.mypremierfutbol.com und http://www.todaysfutbol.com per Get index.php?data=[DATA] übertragen. Diese Server stehen in Dänemark und Malaysia. Es wäre möglich den Wurm über diese Server zu aktualisieren.
Die Drahtzieher des Wurms
Laut News York Times deutet alles darauf hin, dass Stuxnet gemeinsam von den Amerikanern und den Israelis entwickelt worden ist. Auffällig ist auch, dass in der streng abgeriegelten Atomanlage Diamona in der israelischen Negev-Wüste, die genau gleichen Zentrifugen stehen, welche man zum Testlauf des Wurms benötigt. Um dessen Funktionsweise so extrem anzupassen, müsste man die Zentrifugen genau kennen, und Minimum 3 Testabläufe absolvieren um die Funktionalität des Wurms zu gewährleisten. Grundsätzlich wäre es sogar möglich, die Zentrifugen schwer zu beschädigen und damit eine Bombe platzen zu lassen, die schlimme Folgen für das Iranische Volk hätte. Tausende Rechner des Iranischen Atomprogramms sind infiziert. Das Iranische Atomprogramm ist sozusagen mit diesen Virus gestoppt worden. Also ist dieser Virus ein Terroristischer Anschlag auf das Iranische Atomprogramm. Somit hat der Cyber Krieg begonnen.
Info-Vortrag Text by btek-support.ch
