Kampf gegen Computerwürmer Virenjäger sezieren Sabotage-Software

Stuxnet ist angeblich die erste Software, die zur Sabotage von Industrieanlagen eingesetzt werden kann. Auf einer Konferenz in Vancouver zeigen Forscher nun erstmals, wie der Virus Maschinen manipuliert - und geben neue Hinweise auf das Ziel seiner Attacke.

Aus Vancouver berichtet

SPIEGEL ONLINE

Die Jahreskonferenz des "Virus Bulletin" ist normalerweise das zentrale Ereignis einer Parallelwelt. Diskussionen von Firmen wie MX Tools, Zynamics oder ArcaBit über Rootkits, Botnets und Zero-Day-Exploits sind nicht gerade die Top-Themen des Technologie-Normalos.

Dieses Jahr ist das anders. Seit einigen Wochen rätselt die Welt über einen neuen Supervirus namens Stuxnet. Die Schad-Software enthält gut ein Dutzend Komponenten, die nur Geheimdienste oder besonders versierte Hacker entwickelt haben können - und hat unter anderem die iranische Atomanlage Buschehr infiziert.

Sicherheitsexperten halten Stuxnet für eine Sabotagewaffe. "Es ist das erste Mal, dass wir einen Virus entdecken, der die Kontrollsysteme von systemrelevanter Infrastruktur attackiert", sagt Liam O'Murchu, Sicherheitsexperte bei der Firma Symantec. O'Murchu ist der vielleicht am besten über Stuxnet informierte Virenkiller weltweit. Er beschäftigt sich seit Monaten mit der Software.

O'Murchu ist es auch zu verdanken, dass die "Virus Bulletin"-Konferenz dieses Mal gewaltige Aufmerksamkeit bekommt. Vor einigen Tagen kündigte er an, auf der Veranstaltung umfassende Forschungsergebnisse über Stuxnet präsentieren zu wollen - die Rückschlüsse darauf zulassen, wer hinter den Attacken steckt und was ihr Ziel war.

Auch das US-Verteidigungsministerium ist interessiert

Die Ankündigung sorgte für einigen Wirbel. Auf der Teilnehmerliste der Konferenz finden sich fünf Mitarbeiter des US-Verteidigungsministeriums, ein Vertreter der israelischen Regierung und ein Gesandter des US-Rüstungskonzerns Lockheed Martin. Kurz nach O'Murchus Ankündigung hätten sich kurzfristig noch rund ein halbes Dutzend neue Teilnehmer registriert, sagt eine Mitarbeiterin des Veranstaltungsteams. "Einige davon wollten nicht sagen, für wen sie arbeiten und haben bar bezahlt."

Der Aufwand dürfte sich gelohnt haben: Auch wenn O'Murchu weder Opfer noch Täter konkret benannte - seine Forschung über Stuxnet ist deutlich vorangeschritten. Tatsächlich präsentierte er auf der Konferenz im kanadischen Vancouver mehrere neue Erkenntnisse und Spuren. Und er demonstrierte eindrucksvoll, was passiert, wenn ein Schad-Code bis ins Kontrollzentrum einer Industrieanlage vordringt.

Schad-Software lässt Ballons platzen - vielleicht auch Pipelines?

Auf einem Tisch stehen ein Laptop, eine schwarze Kiste und eine elektrische Luftpumpe, an der ein rosa Luftballon befestigt ist. Die Kiste stellt einen sogenannten Programmable Logic Controller (PLC) dar. Ein solches Gerät überwacht zum Beispiel die Schaltzentrale eines Atomreaktors. Es bekommt an verschiedenen Stellen Inputs, etwa über die Temperatur in einem Teil des Reaktors. Über die Outputs kann der PLC die Anlage steuern. Registriert er etwa einen Temperaturanstieg, kann er einen Output aktivieren, der ein Kühlaggregat in Gang setzt.

Auf dem Bildschirm des Laptops ist eine Aktion, die ein PLC ausführen kann, als Computer-Code zu sehen. In einer Zeile des Codes leuchtet die Zahl Drei. O'Murchu exportiert den Befehl, er schreibt ihn in das Betriebssystem der schwarzen Box und schaltet sie an. Die Pumpe bläst den Ballon genau drei Sekunden lang auf.

Dann infiziert O'Murchu den Computer mit einem selbstgeschriebenen Virus. Dieser verändert etwas in einer unsichtbaren Datenbibliothek, auf die der Computer-Code zugreift. Der Code auf dem Bildschirm ist augenscheinlich der gleiche, noch immer leuchtet in einer Zeile die Zahl Drei. Wieder exportiert O'Murchu das Programm in die schwarze Box und schaltet sie an. Dieses Mal bläst die Pumpe so lange Luft heraus, bis der Ballon platzt.

"Jetzt stellen Sie sich vor, dass die schwarze Box eine viel größere Pumpe steuert, die zum Beispiel Öl in eine Pipeline bläst", sagt der Virenexperte.



Forum - Diskussion über diesen Artikel
insgesamt 69 Beiträge
Alle Kommentare öffnen
Seite 1
kanadasirup 01.10.2010
1. Lachhaft
Das Sommerloch ist tief dieses Jahr. Diese Anti-Virus-Experten hören sich am liebsten selbst reden. Mächtig viel Wirbel um ein bisschen heiße Luft.
Markus Heid, 01.10.2010
2. Englisch und Deutsch.
Zitat von sysopStuxnet ist angeblich die erste Software, die zur Sabotage von Industrieanlagen eingesetzt werden kann. Auf einer Konferenz in Vancouver zeigen Forscher nun erstmals, wie der Virus Maschinen manipuliert - und geben neue Hinweise auf das Ziel seiner Attacke. http://www.spiegel.de/netzwelt/netzpolitik/0,1518,720681,00.html
An den Schreiberling: PLC heißt auf Deutsch SPS und steht für 'Speicherprogrammierbare Steuerung'. Im diesem Feld sind die Deutschen Klassenprimus und es hätte sicherlich gut getan ein wenig Hintergrundrecherche zu betreiben und die geläufige deutsche Bezeichnung zu verwenden.
Falkoholiker 01.10.2010
3. Nix Neues
Ein Programm schreiben was Abläufe in der Bibliothek von Siemens Step7 ändert kann jeder Elektrotechniker. Die Frage ist doch wie konnte es alle Sicherheitsvorkehrungen umgehen und auf die Rechner von Bushehr kommen?
gandal 01.10.2010
4. hm
War nicht gross angekündigt worden , dass sie verraten würden wer das Ding hergestellt hätte
Benjowi 01.10.2010
5. Ja, wer war es nur....
Zitat von gandalWar nicht gross angekündigt worden , dass sie verraten würden wer das Ding hergestellt hätte
Scheint mir mittlerweile sehr eindeutig erkennbar zu sein.....
Alle Kommentare öffnen
Seite 1
Diskussion geschlossen - lesen Sie die Beiträge! zum Forum...

© SPIEGEL ONLINE 2010
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.