Maus Trojaner gestoppt
Mitte des Jahres berichtetet der Spiegel Online über den Maus Trojaner: http://www.spiegel.de/netzwelt/web/0,1518,772462,00.html
Der Sicherheitsspezialist CoSoSys hat mit Endpoint Protector 4 eine Lösung auf den Markt gebracht mit der die Gefahr der Angriffe via “Teensy Board” abgewehrt werden.
Endpoint Protector steht als virtuelle Appliance hier kostenlos zum Download und Test bereit.
Duqu: Staatlicher Angriff auf die Industrie
Mit Duqu ist ein Trojaner entdeckt worden, der zum einen ein Spion ist, zum andern via USB Port Zielrechner befällt und während der Laufzeit Code nachladen kann.
Experten von Searchsecurity.de bestätigen zum einen die Code-Verwandtschaft mit Stuxnet und zum anderen den Auftrag: Industriespionage.
Link zur Quelle: Artikel Searchsecurity.de http://www.searchsecurity.de/index.cfm?pid=4597&pk=336201&print=true&printtype=article
Noch pikanter ist die Duqu Warnung vom BSI. Dort wird dem Trojaner eine Staatliche Herkunft zur Industriespionage bestätigt.
Mehr zum Thema: http://staseve.wordpress.com/2011/10/24/bsi-ruft-zu-wachsamkeit-auf-auch-duqu-ist-ein-staatsdiener
Oder beim Nachrichten Sender n-tv: “BSI ruft zu Wachsamkeit auf Auch Duqu ist ein Staatsdiener” http://www.n-tv.de/technik/Auch-Duqu-ist-ein-Staatsdiener-article4600531.html
Duqu: Neuer Stuxnet-Virus erschreckt Sicherheitsprofis
Wie der Spiegel berichtet hat Stuxnet einen erschreckenden Nachfolger gefunden. Auch Wired.com berichtet über den Nachfolger von Stuxnet.
Er ist kleiner, gemeiner als sein Vorgänger und hat ein bisher unbekanntes Angriffsziel: Sicherheitsforscher haben eine neue Variante des Computerschädlings Stuxnet entdeckt. Bisher habe die Software keinen Schaden angerichtet – allerdings wurden schon potentielle Ziele ausgespäht.
Das ist der Wegbereiter des nächsten Stuxnet-Angriffs – so fassen Forscher des Antivirus-Dienstleisters Symantec ihre Analyse einer neuen Schadsoftware zusammen. Stuxnet war vor einem Jahr als Vorbote einer neuen Form von Computerschädlingen bekannt geworden: Das Programm war mit enormem Aufwand gestaltet worden, um Industrieanlagen zu sabotieren.
Der Stuxnet-Nachfolger Duqu scheint den nächsten derartigen Angriff vorzubereiten. Duqu sucht nach Insider-Informationen zu Steuerungssystemen von Industrieanlagen, berichtet Symantec.
Mysteriöse Quellen
Woher Symantec die Duqu-Dateien erhalten hat, verschweigen die Autoren der Analyse. Am 14. Oktober habe ein Forschungslabor mit “vielen internationalen Verbindungen” Symantec auf den neuen Trojaner hingewiesen und Dateien zur Analyse eingeschickt. Diese Daten sollen von Rechnern in Europa stammen.
Die mysteriöse Forschungsinstitution habe Symantec auch eine eigene, 46-seitige Analyse des Schädlings übermittelt – die Autoren bezeichnen sich als Forscher, die Schadsoftware analysieren. Am 17. Oktober habe eine weitere Organisation aus Europa andere Duqu-Varianten an Symantec gesendet.
Wegbereiter eines neuen Angriffs
Die Symantec-Forscher bezeichnen Duqu auf Basis ihrer Analyse als Wegbereiter eines neuen Angriffs im Stuxnet-Stil. Als Belege für diese These führen die Autoren diese Details auf:
Die Schöpfer von Duqu hatten offenbar Zugriff auf den Quellcode des Schädlings Stuxnet.
Die Software habe keine Funktion zur autonomen Weiterverbreitung gehabt. Sie sei stattdessen sehr zielgerichtet eingesetzt worden – in Rechnersystemen, wo “Hintergrundinformationen” zum Aufbau von Kontrollsystemen in Industrieanlagen zu finden sind.
Den Symantec-Forschern zufolge unterscheidet sich Duqu signifikant von Stuxnet, weil er kein Wurm ist und sich nicht selbst replizieren kann. Man könnte ihn als Aufklärungsdrohne bezeichnen, deren Zweck es ist, möglichst viele Informationen über potentielle Angriffsziele zu sammeln, heißt es.
Stuxnet wurde in Steuerungsrechner iranischer Atomaufbereitungsanlagen eingeschleust und manipulierte offenbar monatelang unentdeckt die Drehzahlen der zur Urananreicherung benutzten Zentrifugen, welche durch die Unregelmäßigkeiten schadhaft wurden, ausfielen und ersetzt werden mussten.
“Was uns erstaunt, ist, dass diese Leute immer noch aktiv sind”, sagt Symantec-Experte O’Murchu gegenüber “Wired”. Wir dachten, sie hätten sich nach all der Publicity um Stuxnet zurückgezogen. Aber das ist offensichtlich nicht der Fall. Sie waren im vergangenen Jahr eindeutig aktiv.” Es liege nahe, dass die Informationen, welche die Autoren mit ihrer Schadsoftware jetzt sammeln, für einen neuen Angriff genutzt werden sollen.
Jpeg-Bilder tarnen die Datenübertragung
Wohl auch, weil er keine Schäden anrichten soll, ist Duqu mit 300 Kilobyte kleiner als Stuxnet. Die Daten, die er abgreift, sendet der Aufklärungsschädling an einen Kommando- und Steuerungs-Server, von dem er auch neue Programmbestandteile nachladen kann. Um seine Datenübertragungen zu tarnen, damit sie von Schutzprogrammen nicht erkannt wird, versendet er seine Datenpakete getarnt als Jpeg-Bilder.
Wer auch immer Duqu kontrollierte, hat laut Symantec auf infizierten Systemen ein weiteres Programm nachgeladen, einen sogenannten Keylogger. Der protokolliere Tastatureingaben, um so Logins und Passworte in Rechnernetzen auszuspähen.
Symantec berichtet, man habe im eigenen Archiv von Kunden eingeschickter Schädlinge eine Duqu-Variante entdeckt, die am 1. September gemeldet wurde. Eine Analyse der Dateien deute darauf hin, dass Duqu schon im Dezember 2010 eingesetzt worden sein könnte.
Die Symantec-Forscher warnen in ihrem Bericht: “Es ist möglich, dass derzeit weitere Angriffe gegen andere Organisationen mit bislang unentdeckten Varianten laufen.”
Quelle: Spiegel.de
Der Staat surft mit
Der Chaos Computer Club (CCC) hat einen Trojaner entdeckt, hinter dem Ermittlungsbehörden vermutet werden. Die Arbeitsweise der Software widerspricht einem Urteil des Bundesverfassungsgerichts. Dem CCC sind Festplatten von Rechnern zugespielt worden, die sich seltsam verhielten.
Der Club entdeckte bei seiner Analyse tatsächlich einen Virus: einen sogenannten Trojaner, der im Hintergrund arbeitet und Daten ausspäht. Als Urheber vermutet der CCC Ermittlungsbehörden.
Was macht dieser Trojaner? Er infiziert den Rechner über einen E-Mail-Anhang, als Bestandteil von Internetseiten oder aber über Datenträger wie USB-Sticks oder CD-Roms. Im PC nistet er sich als Bestandteil des Betriebssystems Windows ein.
Wird ein Internet-Browser oder ein E-Mail-Programm gestartet, nimmt der Trojaner den Inhalt des Fensters als Bilderstrecke auf und übermittelt ihn. Auf die gleiche Art kann er die Kommunikation über ein Chat-Programm (Austausch von Textnachrichten) speichern. Auch das Mitschneiden von Audiodateien bei Internet-Telefonaten liegt im Bereich des Möglichen.
Kann die Späh-Software noch mehr?
Der CCC hat entdeckt, dass der Trojaner auch die Kontrolle über das in einem Notebook eingebaute Mikrofon oder die Kamera übernehmen und so den Raum überwachen kann.
Das aber würde dem widersprechen, was das Bundesverfassungsgericht vor mehr als drei Jahren zu Online-Ermittlungen entschied. Zudem könnte der Tastatur-Speicher ausgelesen werden, um alles Getippte zu rekonstruieren.
Was macht das Virus mit den Daten?
Der CCC hat die fest einprogrammierte Internet-Adresse nur eines Zentralrechners erkannt, an den Daten übermittelt werden. Dieser Empfänger ist ein Rechner des Unternehmens Web Intellects in den USA. Das Unternehmen bietet seine Rechnerkapazitäten eigentlich für Internetseiten an. Von dort aus kann der Trojaner auch Kommandos empfangen oder weitere Programmteile nachladen.
Quelle: RP-Online.de
Schutz vor Trojanern (und dem Bundestrojaner): So bleibt der Computer sicher
Die vergangen Tage ist das Thema in aller Munde. Jeder Berichtet von dem Bundestrojaner der vermutlich schon seit längerem von Behörden, und bestimmt nicht nur Deutschen, eingesetzt wird.
Die Süddeutsche Zeitung gibt folgende Info zum Schutz vor Trojaner, auch dem Bundestrojaner der auch per USB einen PC infizieren kann.
Eine staatliche Überwachungssoftware – der sogenannte Staatstrojaner – sorgt für Aufregung. Doch was ist ein Trojaner eigentlich und wie kann man seinen Computer vor einer solchen Schadsoftware sicher schützen?
Der in die Schlagzeilen geratene «Trojaner» ist eine Spionagesoftware, die ähnlich funktioniert wie Schadprogramme, die von Kriminellen zum Ausspähen etwa von persönlichen Bankdaten genutzt werden. Eigentlich Trojanisches Pferd genannt, schleust sich eine solche Schadsoftware unbemerkt in fremde Rechner ein, liest Daten aus und kann im Prinzip die Kontrolle des ganzen Computers übernehmen.
«Man sollte deshalb keine Programme installieren, die nicht aus vertrauenswürdigen Quellen kommen», rät Martin Mink vom Center Center for Advanced Security Research Darmstadt (CASED). Auf Windows-Rechnern sei zudem eine Antiviren-Software Pflicht, die Trojaner oftmals schon vor oder bei der Installation erkennen könne.
Vordergründig hätten Trojaner meist eine nützliche Funktion, seien zum Beispiel ein Bildschirmschoner oder ein Spiel, erklärt Mink. Im Hintergrund könnten sie aber Schadsoftware ausführen oder nachinstallieren, eben wie das namens gebende Trojanische Pferd, in dessen Innerem griechische Soldaten der Sage nach in die Stadt Troja gelangten.
Angreifern ist es so möglich, sensible Daten wie Benutzernamen oder Kennwörter, Tastatureingaben, Chats oder Gespräche mitzuschneiden, den Rechner fernzusteuern, Werbung einzublenden oder auch sicherheitsrelevante Programme zu deaktivieren.
Wohlgemerkt waren es die Trojaner selbst, die das riesige Holzpferd nach einem vorgetäuschten Abzug der Griechen in die Stadt holten – aus purer Neugier. Ähnlich funktionieren PC-Trojaner heute noch. «Insbesondere, wenn es um Raubkopien geht, kann es gut sein, dass sie manipuliert sind», sagte Mink, der in der Security Engineering Group der TU Darmstadt arbeitet. «Damit werden Nutzer geködert.»
Die Verbreitungswege von Trojanern sind vielfältig. Die Gefahr lauert nicht nur bei Tauschbörsen oder Direktdownloads, auch Programme in E-Mail-Anhängen oder auf Datenträgern wie USB-Sticks können infiziert sein. Selbst beim Surfen können manipulierte Webseiten dem Rechner Schadsoftware unterschieben – Drive-by-Download heißt das im Fachjargon. «Das müssen keine Schmuddelseiten sein», sagt Mink. «Es gibt schon Beispiele von bekannten Seiten, die infiziert worden sind, zum Beispiel über Werbebanner.»
Bei Suchmaschinen wie Google werden potenziell gefährliche Seiten oft schon markiert. In den neuesten Versionen warnen auch Browser wie Firefox oder der Explorer den Nutzer, wenn dieser gefährliche Adressen ansteuern möchte. Martin Mink empfiehlt zudem die Installation der Erweiterung NoScript. «Die verhindert, dass eine Webseite aktive Inhalte ausführen kann.»
Ob nicht vielleicht schon längst ein Trojaner samt Schadsoftware sein Unwesen auf dem PC treibt, ist nicht leicht festzustellen. «In den meisten Fällen merkt man das einfach nicht», sagt Mink. Von Zeit zu Zeit könne man sein System aber von einer Notfall-CD booten, wie sie Computerzeitschriften oft beiliegen. Unter einem anderen Betriebssystem wie Linux ließen sich dann oft gleich mehrere Antiviren-Programme ausführen. «Damit kann man schon viel entdecken.»
Es gibt aber durchaus ungewöhnliche Systemaktivitäten, die für eine Infektion sprechen können. «Es kann auffallen, wenn sich plötzlich Webseiten oder Browserfenster öffnen», erklärt der Experte. Auch wenn der Rechner plötzlich langsamer läuft oder der Prozessor immer stark ausgelastet ist, lohnt sich ein Scan mit einer Boot-CD.
Eine Garantie, dass die verschiedenen Antivirenprogramme den Trojaner oder die jeweilige Schadsoftware sicher entfernen können, gibt es nicht. «Bei manchen geht es besser, bei manchen weniger gut», sagt Mink. «Wenn man nicht sicher ist, ob die Schadsoftware ganz entfernt ist, ist es am besten, das ganze System neu zu installieren.»
Quelle: Sueddeutsche.de
Angriff per Maus
Virulente Emails sind den meisten wohlbekannt aber ein Hacker Angriff per Maus davon haben bislang die wenigsten gehört. Der Spiegel Online beschreibt wie einfach mit einer auf den ersten Blick gewöhnlichen Maus ein Computer Netzwerk angegriffen werden kann…
Hier geht es zur Artikel bei Spiegel Online (Klick)
Quelle: Spiegel Online
60% von gefunden USB Sticks werden an PCs angeschlossen.
Die US-Regierung hat eine Studie durchgeführt, wonach 60% der absichtlich verloren gegangener USB-Sticks von den Findern mit einem PC verbunden wurden. Die sich auf den USB-Flash Drives befindliche Schadsoftware wurde dann automatisch ausgeführt und der PC infiziert.
Damit ist es Angreifern faktisch möglich danach den infizierten PC bzw. das Netzwerk in dem sich der PC befindet zu missbrauchen oder auszuspionieren.
Einen ausführlichen Artikel gibt es hierzu in Englisch bei Bloomberg.com
Dead-Drops – Eine neue Art Dateien zu teilen ;-)
Man muss schon ganz genau hingucken, um sie zu entdecken. Weltweit haben Aktivisten in Städten sogenannte Dead Drops verteilt: USB-Sticks, die für jeden frei verfügbar sind. Ist das nun kommunikative Kunst – oder ein Einfallstor für Computerviren?
“Der Klassiker: Zement. Praktisch sind aber auch Knetmasse und Kunstharz”, stellt Christian von Pentz mir die Materialien vor, mit denen er gerade im Stuttgarter Schlosspark einen USB-Stick in einer Wand installiert. Er geht bei seiner Arbeit sauber vor, zieht Gummihandschuhe über, denn “den stinkenden Kunstharz willst du keinen Tag an der Hand haben”.
Zement kommt heute nicht zum Einsatz. Zuerst wird die Knetmasse weichgemacht und in ein vorher ausgewähltes Mauerloch gestopft, dann kommt der präparierte USB-Stick hinein. Die Ränder werden mit Kunstharz nachgebessert. Per Foto wird der neueste sogenannte Dead Drop anschließend für deadrops.com dokumentiert. Eine Nahaufnahme, eine Umgebungsaufnahme und eine Ansicht von oben – andere User sollen den USB-Stick schließlich gut finden, Dateien kopieren und neue hinzufügen können.
“Hingehen, aufmachen, über den Inhalt freuen. Quasi wie ein Adventskalender”, beschreibt Christian das Projekt, das von dem Berliner Künstler Aram Bartholl im Oktober 2010 in New York gestartet wurde. Das Prinzip ist simpel: USB-Sticks zum lokalen und anonymen Filesharing, angebracht an öffentlichen Plätzen. Die Projektseite verzeichnet weltweit bereits 117 Dead Drops mit einer Kapazität von 295 GB. Der jeweilige Installateur speichert auf seinem Stick das Manifest, eine Art Kurzbeschreibung, vielleicht ein Gästebuch und noch zwei, drei lustige Bilder.
Christian von Pentz hinterlässt auf den von ihm angebrachten Sticks mit dem Manifest seinen Nickname “zzaxx thesymbol” und bei der Beschreibung auf der Projektseite, wo der jeweilige Stick zu finden ist, zusätzlich seine Blog-Adresse www.blackinternet.de, damit Interessierte wie ich ihn kontaktieren können.
Sucht man Christian im Internet, stößt man zwar auf viele Ergebnisse, doch kaum auf eine richtige Spur zu ihm, zu seiner Person. Vor dem Interview weiß ich nicht, was Christian beruflich macht oder wie alt er ist – er weiß solche Dinge über mich hingegen schon. “Du bist leicht zu googlen”, sagt er mir auf den Kopf zu. Er beschäftigt sich in seiner Freizeit viel mit dem, was er “diese ganzen Security-Geschichten” nennt: “Ich führe Leuten gerne vor, wie einfach es ist, ihr W-Lan anzuzapfen.” Er hofft, dass es manchen die Augen öffnet.
Form verzögerter Kommunikation
“Allgemein sollen die Leute weniger Angst vor Technik haben. Die meisten Deutschen stecken nicht mal ihr Computerkabel selbst ein – das macht in Indien jeder Neunjährige.” Christian will, dass Technik in positivem Sinn verwendet wird, darum hinterlässt er auf seinen Drops auch mehr Spuren, als nötig. “Ich will die Dead Drops in der Region publikmachen. Wären schon zwanzig da gewesen, hätte ich das nicht komplett über mich laufen lassen”, sagt Christian. Er ist bisher der einzige, der in Stuttgart USB-Sticks installiert hat. In Berlin hingegen hatte es einen regelrechten Wettlauf gegeben, wer den ersten Dead Drop pflanzt. Christian ist über die Mailinglist des shackspace, des von ihm mit gegründeten Stuttgarter hackspace, auf das Projekt aufmerksam geworden.
Er weiß, dass man für die Installation eines Dead Drops meistens zwei Termine braucht. Beim ersten sucht man in Ruhe nach einem geeigneten Ort. Faustregel: Keine Hauptverkehrswege wählen, sondern dorthin, wo der Stick niemanden stört. Ungewöhnliche Orte, wie ein Baumstamm, sind dabei nicht selten. “Wenn ich hier im Schlosspark aber ein Loch in einen Baum bohre, springen mir die S21-Gegner sicher an den Hals”, sagt Christian grinsend. Vor dem zweiten Termin präpariert man den USB-Stick, der durch Abkratzen der Hülle und mit Komponenten-Kleber möglichst klein und dicht gemacht wird. Seinen ersten Dead Drop brachte Christian nahe der Buchhandlung Wittwer in Stuttgart an. Schon wenige Tage später hatte jemand als Witz E-Books zusammen mit dem Kommentar “Wittwer Konkurrenz machen” darauf platziert.
“Man trifft als Dead-Drops-Nutzer keine typischen Computernerds mit Übergewicht und Badehose, die zu Hause ihre 20 Bildschirme haben, sondern die Leute, die auch mal rausgehen. Es geht auch darum, Sachen mehr aus dem Netz zu nehmen.” Christians Zukunftsvision ist, dass Jugendliche die Drops nutzen oder jemand, der von der Arbeit nach Hause geht und eh seinen Laptop dabei hat, sich einfach spontan einklinkt. “Es ist theoretisch ja möglich, Drops an allen Knotenpunkten anzubringen, um einen fließenden Verkehr zu schaffen.” Auf den Sticks sind die unterschiedlichsten Dinge zu finden. Der “Open Drop” in Berlin ist gefüllt mit Bildern und Musik lokaler Künstler: “Das ist doch kultureller Gewinn.” Bei einem anderen ruft der Installateur auf der Projektseite auf, die zehn Lieblingslieder darauf zu speichern.
Risiken und Nebenwirkungen
Stößt das Projekt damit nicht an eine rechtliche Grauzone? Nein, sagen die Installateure. Im Manifest ist klar verankert: Ein Dead Drop gehört niemandem. “Das ist praktisch, als findest du eine CD auf der Straße”, sagt Christian. Mit diesem Statement zeigt sich auch der politische Hintergrund der Aktion – keine Kontrolle von Daten- und Informationsaustausch.
Das ist nicht ganz so unproblematisch, wie die Involvierten das sehen. Das Worst-Case-Szenario wäre natürlich ein Missbrauch der Möglichkeit, über die Drops Daten anonym auszutauschen. Der Stick mag niemandem gehören, die weitergegebenen Daten womöglich hingegen schon. Raubkopie bleibt Raubkopie, unbeschadet des gewählten Vertriebswegs – verantwortlich bleibt der Verbreiter. Durch das Peer-to-Peer-Prinzip könnten auch rassistisches Material oder Kinderpornografie verbreitet werden, im Gegensatz zum Internet lassen sich bei einem USB-Stick kaum Rückschlüsse auf den Verbreiter ziehen.
Auch Schadprogramme könnte man so leicht verbreiten. Viren wären laut Christian “gegen die Hackerethik”. Trotzdem, auch die Gefahr einer Infektion besteht. Über die auf vielen PCs aktivierte Autostart-Funktion könnten Viren auf den Rechner gelangen. Fänden sie dort eine entsprechende Sicherheitslücke, würde der Dead Drop zum Trojanischen Pferd: Während der User entspannt die sichtbaren Dateien auf dem Drop durchforstet, klappert das Schadprogramm heimlich die Passwort-Speicherplätze ab und kopiert sie in einen für den Nutzer unsichtbaren Bereich des USB-Sticks, von dem sie derjenige, der den Virus aufgespielt hat, wieder einfach kopieren kann.
Die Meinungen zu Dead Drops sind in der Szene entsprechend gespalten. Viele sehen darin ein Sicherheitsrisiko, andere sehen keinen Sinn in dem Projekt, während in einer Fernseh-Doku gar vom “WikiLeaks für den einfachen Mann” die Rede war. “Hey du, ich hab da mal ‘nen USB-Stick in die Wand gemauert” sei eben schwer zu verstehen für Leute, die in so etwas nicht einen gewissen Witz sehen, sagt Christian.
Quelle: Spiegel.de
“Stuxnet ist peinlich, nicht verblüffend” Spiegel.de
Zwei IT-Experten behaupten, der berüchtigte Stuxnet-Wurm sei zu fehlerhaft, um ein Meisterwerk – oder das Werk eines westlichen Geheimdienstes – zu sein.
Ist Stuxnet wirklich die brandgefährliche “erste Waffe des ersten Cyberkriegs”, das Wunderwerk, als das ihn IT-Sicherheitsexperten und Medien (auch SPIEGEL ONLINE) deuten? Zwei IT-Experten glauben nicht daran: Die Stuxnet-Entwickler hätten “grundlegende Fehler” gemacht, sagte etwa IT-Berater Tom Parkner in einem Vortrag auf der Hacker-Konferenz Blackhat DC im US-Bundesstaat Virginia. Für Root.org-Blogger Nate Lawson ist Stuxnet gar “peinlich, nicht verblüffend”.
Parkner zufolge könnte Stuxnet das Werk zweier Programmier-Teams sein. Das eine, talentierte, habe Stuxnets Kern, vor allem dessen vier ( vermutlich teuer eingekaufte) Angriffsmethoden entwickelt. Ein zweites, weniger begabtes könnte das Vehikel drumherum gebastelt und für den Einsatz fit gemacht haben. Parker analysierte den Stuxnet-Programmcode und kam zu dem Schluss, dass er teilweise nicht sehr gut geschrieben sei – gerade die Kommando- und Kontroll-Infrastruktur sei schlecht ausgeführt. Stuxnet kommuniziere über unverschlüsselte Kanäle und verbreitete sich im Internet, was nicht im Interesse der sicherlich um Geheimhaltung bemühten Entwickler gewesen sein dürfte.
Lawson wiederum empört sich regelrecht über die schlechten Tarn-Funktionen Stuxnets. Der Wurm “setzt keine auf virtuellen Maschinen beruhenden Tarnmechanismen ein, keine neuartigen Techniken, um sich gegen Debugging zu wehren oder irgendetwas, das ihn von den Hunderten täglich neuentdeckten Malware-Exemplaren unterscheidet.” Die Stuxnet-Entwicklung stünde hinter dem zurück, was ein “bulgarischer Teenager in den Neunzigern bereits getan hat.”
Vor allem sind sich Lawson und Parkner in einer Vermutung einig: All diese Fehler deuten darauf hin, dass, trotz anderslautender Gerüchte, womöglich kein westlicher Staat hinter Stuxnet stehe. Vielleicht, spekuliert Lawson, wurde Stuxnet ja sogar zunächst von einem Profi-Team entwickelt, das – aus welchen Gründen auch immer – den Wurm-Entwurf dann einem Amateur-Team überließ, das Stuxnet dann auf eigene Faust weiterentwickelte.
Quelle: Spiegel.de
Stuxnet-Virus könnte tausend Uran-Zentrifugen zerstört haben laut Bericht des Spiegels
Neue Erkenntnisse über den hinterhältigen Stuxnet-Wurm: Möglicherweise hat die Schad-Software in der iranischen Anreicherungsanlage Natans größere Schäden angerichtet, als das Regime in Teheran eingestehen will. Bis zu tausend Uran-Zentrifugen hat der Virus womöglich auf dem Gewissen.
Sollten diese Berichte stimmen hat mit dem Stuxnet Wurm eine der bisher größten modernen Cyber-Angriffe sein Ziel erreicht.
Das Institute for Science and International Security (ISIS) ist eine renommierte Organisation. Sie wird von diversen Stiftungen und sogar der Internationalen Atomenergiebehörde IAEA gefördert. Nun sind drei ISIS-Forscher zu einem Schluss gekommen, der dabei helfen könnte, das Rätsel um den geheimnisvollen Stuxnet-Virus zu lösen. Stuxnet, schreiben die Wissenschaftler David Albright, Paul Brannan und Christina Walrond in ihrem Bericht, hat womöglich tausend oder noch mehr iranische Uran-Zentrifugen in der Anreicherungsanlage Natans, gut 300 Kilometer südlich von Teheran, zerstört.
Die Autoren des Forschungsberichts formulieren vorsichtig: “Wenn das Ziel von Stuxnet war, alle Zentrifugen in der Anreicherungsanlage zu zerstören, ist Stuxnet gescheitert. Wenn das Ziel jedoch war, eine begrenzte Anzahl von Zentrifugen zu zerstören und Irans Fortschritte beim Betrieb der Anlage zu hemmen und gleichzeitig die eigene Entdeckung zu erschweren, war die Malware möglicherweise erfolgreich, jedenfalls eine zeitlang.”
Dass Stuxnet in Natans Probleme verursacht hatte, gestand Ende November sogar Irans Präsident Mahmud Ahmadinedschad ein. Bei einer Pressekonferenz erklärte er: “Sie haben es geschafft, Probleme mit einer begrenzten Anzahl unserer Zentrifugen zu verursachen, mit einer Software, die sie in elektronischen Bauteilen installiert hatten”, sagte Ahmadinedschad Reuters zufolge. Stimmt die ISIS-Einschätzung jedoch, waren die Schäden durchaus umfangreich.
Andere Ursachen für die Ausfälle: unwahrscheinlich
Atomkraft und vor allem die Verbreitung von Nuklearwaffen sind das Spezialgebiet des ISIS-Instituts. In ihrem Bericht stützen sich die drei Autoren auf das Gutachten, das die IT-Sicherheitsfachleute von Symantec über Stuxnet angefertigt haben – und auf Daten aus den Beständen der Atomenergieaufsicht IAEA. Die Behörde veröffentlicht regelmäßig Berichte über Kennzahlen in Nuklearanlagen, über eingesetzte Rohmaterialien, installierte, betriebsbereite und tatsächlich arbeitende Zentrifugen.
Dem ISIS-Bericht zufolge wird in der zweiten Hälfte des Jahres 2009 eine ziemliche Delle in der Ausstattung von Natans deutlich: Etwa 1000 Zentrifugen, etwa zehn Prozent aller dort eingesetzten Geräte, wurden in den Monaten vor dem Januar des Jahres 2010 offenbar außer Dienst gestellt. Möglicherweise weil Stuxnet sein diskretes Zerstörungswerk verrichtet hatte. Die Autoren weisen allerdings explizit darauf hin, dass der massenweise Ausfall auch andere Ursachen haben könnte – schadhafte Bauteile oder ganze Lieferungen fehlerhaft zusammengesetzter Zentrifugen zum Beispiel. Doch das erscheine eher unwahrscheinlich, heißt es in dem Bericht. Die Ausfälle verschleierte Iran dadurch, dass parallel massenweise neue Zentrifugen installiert wurden.
Viel zu viel Uranhexafluorid verbraucht
Das komplexe Schadprogramm, so viel ist mittlerweile klar, hatte mindestens eine konkrete Aufgabe: Die Frequenzen, mit denen die Zentrifugen rotieren, zu manipulieren. Normalerweise müssen die Uranschleudern mit möglichst genau 1064 Hertz laufen, doch Stuxnet schraubte die Umdrehungszahl zunächst auf bis zu 1410 Hertz hinauf und anschließend auf bis zu zwei Hertz hinunter. Wieder und wieder, jeweils im Abstand eines knappen Monats.
Die höchsten Frequenzen, notieren die ISIS-Autoren, liegen sehr nahe an der absoluten Belastungsgrenze dieser Zentrifugen. Würden solche Geschwindigkeiten tatsächlich erreicht, würden die Rotoren der Zentrifugen “vermutlich auseinanderfliegen”. Gleichzeitig habe Stuxnet sein zerstörerisches Werk verschleiert: “Jede Angriffssequenz sendet auch Kommandos aus, um die Warn- und Sicherheitskontrollen der Frequenzumrichter abzuschalten, die das Bedienpersonal bei Steigerung oder Reduktion der Geschwindigkeit warnen sollen.”
Möglicherweise war das Ziel auch gar nicht, die Zentrifugen sofort zu zerstören, sondern langsam, über einen längeren Zeitraum hinweg, um die Quelle der ständigen Pannen zu verschleiern. In der 15-minütigen Phase, in der die Geschwindigkeit Richtung 1410 Hertz gesteigert werden sollte, sei dieser zerstörerische Zielwert womöglich gar nicht erreicht worden, so die ISIS-Autoren. Dieses Vorgehen sollte die Zentrifugen womöglich nach und nach beschädigen. Diskret.
Ein weiteres Indiz spricht für eine möglicherweise zweigleisige Wirkungsweise: In der zweiten Jahreshälfte 2010 setzte Iran in Natans wesentlich mehr von dem Grundstoff Uranhexafluorid ein, produzierte im Verhältnis zur Menge dieses Rohmaterials aber weniger niedrig angereichertes Uran. Schlussfolgerung der ISIS-Autoren: “Dies könnte darauf hindeuten, dass Irans Zentrifugen in diesem langen Zeitraum nicht effizient anreicherten.” Verschwendeten die leiernden Zentrifugen Uranhexafluorid?
Die Tatsache, dass die Entwickler der Schad-Software überhaupt so gezielt auf die Eigenheiten der Hardware eingehen konnten, spreche für detaillierte Vorinformation, so die ISIS-Forscher. Denn zumindest bei der IAEA wisse man gar nicht, welche Frequenzumrichter in Natans eingesetzt werden: “Wenn Stuxnet auf die Anreicherungsanlage zielte, haben seine Autoren Informationen benutzt, die der IAEA nicht vorlagen.” Ein weiterer deutlicher Hinweis darauf, dass Stuxnet tatsächlich ein Werk westlicher Geheimdienste sein könnte.
Quelle: Spiegel.de
