News
10.05.2012, 08:48 Uhr
So funktionierte Stuxnet
An einer Veranstaltung des IT-Security-Spezialisten Avantec in Zürich hat der Hamburger Security-Fachmann und Entschlüssler des Stuxnet-Wurms, Ralph Langner, aufgezeigt, wie er der Malware auf die Schliche gekommen ist. Ein Cyberkrimi erster Güte.
Der Stuxnet-Wurm gehört zu den präzisesten Cyberwaffen, die je entwickelt wurden. Dieses Fazit zieht Ralph Langner von Langner Communciations. Der Hamburger ist ursprünglich Spezialist für Steuerungen von Siemens. Als er erfahren hatte, dass Stuxnet speziell die PLC-Kontroller des Konzerns als Ziel ausgesucht hatte, wurde er aktiv und kam in der Folge dem Wurm auf die Schliche. An der Veranstaltung «IT-Security Inside» von Avantec in Zürich hat er dargelegt, wie er Stuxnet seziert hat.
Bei diesem Verfahren habe ihn Stuxnet mehrmals erstaunt, wenn nicht gar verblüfft. So spricht Langner bei Stuxnet von einer richtiggehenden Cyberwaffe. Das Ziel des Wurms sei es gewesen, physischen Schaden anzurichten, also eine Störung und Zerstörung von Industriekomponenten zu bewirken. Dabei sei der Wurm ganz gezielt auf die Suche nach einer bestimmten Anlage gegangen, erklärt Langner. Dies, obwohl er das Potenzial hat, jede Anlage mit der entsprechenden Steuerung zu stören.
Bei diesem Verfahren habe ihn Stuxnet mehrmals erstaunt, wenn nicht gar verblüfft. So spricht Langner bei Stuxnet von einer richtiggehenden Cyberwaffe. Das Ziel des Wurms sei es gewesen, physischen Schaden anzurichten, also eine Störung und Zerstörung von Industriekomponenten zu bewirken. Dabei sei der Wurm ganz gezielt auf die Suche nach einer bestimmten Anlage gegangen, erklärt Langner. Dies, obwohl er das Potenzial hat, jede Anlage mit der entsprechenden Steuerung zu stören.
Lesen Sie auf der nächsten Seite: Riesiger Entwicklungsschritt
Riesiger Entwicklungsschritt
Auch der Umfang des kompilierten Codes, der im Stuxnet-Wurm gesteckt hat, sei erstaunlich. «Wir sind bei der Betrachtung des verschlüsselten und entschlüsselten Codes des Droppers davon ausgegangen, dass das vielleicht 150 Zeilen Code ergibt. Als wir dann sahen, dass es ein Programm mit 15'000 Zeilen war, hat uns das schon verblüfft», berichtet Langner.
Zudem musste er feststellen, dass Stuxnet wie aus dem Nichts kommend plötzlich da gewesen sei. «Bei Computer-Malware gibt es eine Geschichte von Entwicklungsschritten. Jeder Hacker hat über die Jahre von seinen Vorgängern gelernt», sagt er. Anders bei Stuxnet. Wie Langner berichtet habe es im Jahr 2000 den Maroochi-Vorfall in Australien gegeben, bei dem eine Kläranlage betroffen war. Dann herrscht aber in Sachen Angriffen auf Industriesteuerungen Funkstille, bis 2010 Stuxnet entdeckt wurde. «Hier müssen hochkarätige Fachkräfte über Jahre im Stillen gewirkt haben, um eine Cyberwaffe wie Stuxnet zu entwickeln», schlussfolgert Langner. Dieser enorme Entwicklungsschritt sei etwa vergleichbar damit, wie wenn auf einem Schlachtfeld des Ersten Weltkriegs plötzlich ein F35-Kampfjet auftauchen würde. Dies ist für Langner Beweis genug, dass hinter der Entwicklung von Stuxnet Nationalstaaten stecken müssen.
Lesen Sie auf der nächsten Seite: Schweizer Anlagen wären ein einfaches Ziel
Lesen Sie auf der nächsten Seite: Schweizer Anlagen wären ein einfaches Ziel
Zudem musste er feststellen, dass Stuxnet wie aus ...
Schweizer Anlagen wären ein einfaches Ziel
Das Gefährliche an Stuxnet ist laut Langner, dass das Design des zerstörerischen Teils des Wurms an sich nicht so komplex ist. Die meiste Arbeit und das meiste Insiderwissen hätten die Entwickler von Stuxnet nämlich in die Verschleierung der Malware gesteckt. Denn das Ziel der Angreifer sei es gewesen, dass der angerichtete Schaden wie ein Unfall aussehen musste und nicht wie die Folge eines Angriffs. «Jemand, der beispielsweise Schweizer Kraftwerke angreifen will, braucht all diese Verschleierung gar nicht», sagt Langner. Cyberkriminelle, die etwa Betreiber erpressen wollten, seien nämlich daran interessiert, ihrem Opfer zu zeigen, wozu sie in der Lage seien, argumentiert er.
Das Gefährliche an Stuxnet ist laut Langner, dass das Design des zerstörerischen Teils des Wurms an sich nicht so komplex ist. Die meiste Arbeit und das meiste Insiderwissen hätten die Entwickler von Stuxnet nämlich in die Verschleierung der Malware gesteckt. Denn das Ziel der Angreifer sei es gewesen, dass der angerichtete Schaden wie ein Unfall aussehen musste und nicht wie die Folge eines Angriffs. «Jemand, der beispielsweise Schweizer Kraftwerke angreifen will, braucht all diese Verschleierung gar nicht», sagt Langner. Cyberkriminelle, die etwa Betreiber erpressen wollten, seien nämlich daran interessiert, ihrem Opfer zu zeigen, wozu sie in der Lage seien, argumentiert er.
Umso erstaunlicher ist es für den Hamburger Security-Experten, dass Stuxnet für die Industrie nicht als Weckruf wahrgenommen worden sei. «Nur militärische Kreise haben aufgehorcht», ergänzt er. Denn diese hätten erkannt, dass sie mit rund 10 Millionen Dollar - so viel habe die Entwicklung von Stuxnet ungefähr gekostet - eine effiziente Waffe erhielten. «Für das Militär sind 10 Millionen nichts, im Vergleich zu dem, was beispielsweise ein neues Kampfflugzeug kostet», so Langner.
Kommentare
Es sind keine Kommentare vorhanden.