Malware-Analyse

Stuxnet-Angriffe richteten sich gegen fünf ausgewählte Ziele

Die neuesten Ergebnisse der Analysen der Stuxnet-Angriffe zeigen, dass es zwischen Juni 2009 und Mai 2010 mehrere Angriffe gegeben hat. Es wurden fünf primäre Ziele im Iran attackiert, von wo aus sich die Infektionen weiter ausgebreitet haben.

Das Sicherheitsunternehmen Symantec hat kürzlich die Version 1.4 seiner Stuxnet-Analyse veröffentlicht, die eine Reihe neuer Erkenntnisse über die Malware-Angriffe auf Ziele im Iran enthält. Die Untersuchung von mehr als 3000 Stuxnet-Dateien aus 12.000 Infektionen zeigt, dass sich die Angriffswellen auf insgesamt fünf Ziele fokussiert haben.

Während längst Einigkeit zu herrschen scheint, dass Stuxnet eine iranische Atomanlage sabotieren sollte, wird über den Ursprung von Stuxnet munter spekuliert. Zwar liegt es nahe anzunehmen, dass die USA und Israel die wahrscheinlichsten Urheber seien, bewiesen ist dies jedoch nicht. Jedenfalls muss Stuxnet aus einem völlig anderen Umfeld stammen als übliche Malware.

Symantec hat von anderen Antivirusherstellern etliche Stuxnet-Dateien erhalten. Das Unternehmen hat 3280 solcher Dateien, die aus etwa 12.000 (von geschätzt mehr als 100.000) Infektionen stammen, analysiert. Jede Datei enthält das Infektionsdatum und weitere Informationen über das infizierte System. Die Analyse dieser Daten ergibt fünf Ziele für Erstinfektionen, von denen drei nur einmal angegriffen wurden, eines zweimal und eines dreimal. Alle fünf nicht näher bezeichneten Unternehmen und Einrichtungen sind im Iran vertreten.

Die Malware-Forscher haben drei Stuxnet-Varianten identifiziert, die bei den Angriffen zwischen Juni 2009 und Mai 2010 eingesetzt wurden. Eine vierte müsste existieren, die zugehörige Treiberdatei jedoch bislang nicht gefunden worden. Die Varianten unterscheiden sich in Zahl und Funktionsumfang der enthaltenen Module.

Neben einer bereits früher dokumentierten Sabotagefunktion enthält Stuxnet noch eine zweite, komplexere, die jedoch deaktiviert ist. Ihre Aufgabe ist nicht endgültig geklärt, der Code scheint unvollständig zu sein. Er zielt auf Anlagensteuerungen des Typs Siemens S7-417. Der Sabotage-Code zeigt jedenfalls, das die Programmierer genaue Kenntnisse über die Struktur der Anlage haben, auf die der Angriff gerichtet ist.

Stuxnet ist das erste bekannt gewordene Beispiel für einen derart komplexen Schädling, der gezielt Industrieanlagen sabotieren soll. Die vierte, aktualisierte Version 1.4 der Stuxnet-Analyse von Nicolas Falliere, Liam O'Murchu und Eric Chien ist als PDF-Dokument erhältlich. (PC-Welt/hal)