[datensicherheit.de, 11.11.2014] Als der berühmt-berüchtigte Stuxnet-Wurm vor mehr als vier Jahren entdeckt wurde, galt das komplexe Schadprogramm als erste Cyberwaffe der Welt. Seitdem ranken sich viele Geschichten und offene Fragen um den Schädling. Nach einer Analyse von über zweitausend Stuxnet-Dateien können die Mitarbeiter von Kaspersky Lab nun die ersten fünf Opfer von Stuxnet identifizieren und neue Erkenntnisse zum „Patient Zero“ sowie zur mutmaßlichen Infizierung präsentieren [1].

Von Beginn war klar, dass es sich bei der gesamten Attacke um eine zielgerichtete Operation handelte. Der Code des Stuxnet-Wurms erschien professionell programmiert und exklusiv zu sein. Zudem gab es Hinweise darauf, dass sehr teure Zero-Day-Schwachstellen zum Einsatz kamen. Allerdings war bis heute unbekannt, welche Art von Organisationen zuerst infiziert wurde und wie es der Schädling bis zu den Uran anreichernden Zentrifugen innerhalb streng geheimer Einrichtungen schaffen konnte.

Nach Erkenntnissen von Kaspersky Lab waren alle fünf Organisationen, die zu Beginn der Stuxnet-Kampagne attackiert wurden – also zwischen den Jahren 2009 und 2010 –, im ICS-Bereich (Industrial Control Systems) im Iran tätig, entweder um industrielle Steuerungssysteme (ICS) zu entwickeln oder um hierfür Materialien beziehungsweise Teile zu liefern. Die fünfte von Stuxnet infizierte Organisation ist besonders interessant, weil diese neben anderen Produkten für die industrielle Automation auch Uran anreichernde Zentrifugen herstellt. Das ist genau die Art von Anlagenteil, welche vermutlich das Hauptziel von Stuxnet war.

Offenbar gingen die Angreifer davon aus, dass diese Organisationen im Datenaustausch mit ihren Kunden stehen und somit der Schädling über die Zulieferer in die anvisierten Zieleobjekte eingeschleust werden kann. Ein offensichtlich erfolgreicher Plan.

„Wenn man sich die Geschäftsfelder der ersten Opferorganisationen von Stuxnet genauer ansieht, erkennt man, wie die gesamte Operation geplant wurde“, so Alexander Gostev, Chief Security Expert bei Kaspersky Lab. „Es handelt sich um ein klassisches Beispiel eines Angriffs auf eine Lieferkette, bei dem das Schadprogramm indirekt in die anvisierte Organisation, nämlich über das Partnernetzwerk eingeschleust wurde.“

Bild: Kaspersky Lab

Stuxnet-Wurm: Inforgraphik

Allererste Stuxnet-Attacke vermutlich nicht über USB-Stick

Darüber hinaus hat sich nach Erkenntnissen von Kaspersky Lab der Stuxnet-Wurm nicht ausschließlich über infizierte USB-Sticks verbreitet, die an PCs angeschlossen wurden. Diese bisher vermutete Theorie erklärte, wie Malware in eine Einrichtung eingeschleust werden konnte, die keine direkte Verbindung mit dem Internet hatte. Allerdings zeigt eine nähere Untersuchung der allerersten Attacke von Stuxnet, dass das erste Sample (Stuxnet.a) nur wenige Stunden jung war, als es auf einem PC der angegriffenen Organisation landete. Nach diesem straffen Zeitrahmen ist es nur schwer vorstellbar, dass ein Angreifer den Schadcode erstellt, ihn auf einen USB-Stick gepackt und innerhalb weniger Stunden in der anvisierten Organisation eingeschleust hat. In diesem Fall ist eine Infizierung über andere Techniken als die via USB wahrscheinlich.

Weitere Informationen zum Thema:

[1] https://securelist.com/analysis/publications/67483/stuxnet-zero-victims/

datensicherheit.de, 11.06.2012
Entwickler von Stuxnet und Flame sollen in Verbindung stehen

datensicherheit.de, 27.11.2011
Stuxnet-Nachfolger Duqu attackiert Objekte im Iran und Sudan

[datensicherheit.de, 14.08.2012] Kaspersky Lab hat kürzlich Gauss entdeckt, eine komplexe, mit staatlichem Hintergrund finanzierte Plattform zur Cyber-Spionage. Gauss kann eine Vielzahl verschiedener Daten entwenden, darunter Internet-Passwörter, Angaben zu Online-Bankkonten und Systemeinstellungen der infizierten Computer. Entdeckt wurde Gauss anhand von Ähnlichkeiten zu Flame. Seit Mai 2012 sind mehr als 2.500 Infektionen vom cloudbasierten Sicherheitssystem, dem Kaspersky Security Network, registriert worden, die meisten davon im Nahen Osten. In Bezug auf eine verschlüsselte Komponente von Gauss bitten die Kaspersky-Mitarbeiter die Community um ihre Mithilfe.

Das Unternehmen hat eine ausführliche Analyse [1] von Gauss veröffentlicht. Darin wurden zahlreiche Eigenschaften der Cyberwaffe enthüllt, etwa zu ihrer Architektur, ihren Modulen, den Methoden der Kommunikation, sowie zu den Infektionsraten. Ein Rätsel bleibt jedoch weiterhin ein verschlüsselter Schadmechanismus von Gauss.

Gefährliches Godel-Modul von Gauss

Der Schadmechanismus ist in das Modul namens Godel von Gauss integriert und greift sehr zielgenau ganz bestimmte Computersysteme an, sofern ein bestimmtes Programm installiert ist. Wenn ein infizierter USB-Stick in einen lückenhaft geschützten Computer gesteckt wird, tritt die Schadsoftware in Aktion. Sie versucht den verborgenen Schadmechanismus mittels einer Zeichenfolge zu entschlüsseln, die aus der Systemkonfiguration des angegriffenen Computers gewonnen wird. Für die erfolgreiche Entschlüsselung ist beispielsweise ein Ordner in den Programmdateien notwendig, dessen erster Buchstabe auf einer erweiterten Zeichentabelle beruht – wie im Arabischen oder Hebräischen. Wenn die Schadsoftware die entsprechenden Systemeinstellungen vorfindet, dann werden die verschlüsselten Nutzdaten dekodiert und ausgeführt.

Cyberwaffe Gauss greift hochsensible Ziele an

„Der Zweck und die Funktionen des verschlüsselten Mechanismus bleiben uns derzeit verborgen“, sagt Alex Gostev, Chief Security Expert von Kaspersky Lab. „Die Nutzung der Verschlüsselung und weitere Maßnahmen der Autoren weisen darauf hin, dass deren Ziele hochsensibel sind. Auch der Umfang des verschlüsselten Codes ist ungewöhnlich. Die verborgenen Daten sind so umfangreich, dass sie Code zur Cyber-Sabotage enthalten könnten – ähnlich zum SCADA Code von Stuxnet. Die Entschlüsselung würde uns mehr über die Natur und die Ziele von Gauss verraten.“

Kaspersky lädt daher alle Interessierten mit Kenntnissen in den Bereichen Verschlüsselung, Reverse Engineering oder Mathematik ein, sich an der Entschlüsselung der Kodierung zu beteiligen, um Gauss das Geheimnis seiner verschlüsselten Daten zu entreißen. Mehr Informationen, Kontaktmöglichkeiten, sowie eine technische Beschreibung finden sich unter www.securelist.com.

[1] http://www.securelist.com/en/analysis/204792238/Gauss_Abnormal_Distribution