Virus offengelegt Stuxnet-Code in freier Wildbahn

Cyberkrieg für Heimanwender: Der Stuxnet-Wurm, der die Steuerungscomputer iranischer Atomanlagen befallen hat, wird jetzt via Internet verbreitet. Online-Aktivisten haben die Schadsoftware in geklauten E-Mails entdeckt - nun wurden Teile des Quellcodes veröffentlicht.

Anonymous-Aktivisten: Die Hacker haben angeblich den Stuxnet-Wurm gekapert
AFP

Anonymous-Aktivisten: Die Hacker haben angeblich den Stuxnet-Wurm gekapert


Hamburg - Der Computerwurm Stuxnet, mit dem das iranische Atomprogramm sabotiert wurde, liegt nun im Quellcode vor. Das Programm habe sich in kompilierter Form in E-Mails gefunden, die einem amerikanischen IT-Unternehmen entwendet worden waren, berichtet die Website Crowdleaks. Man habe Teile des Programms in eine lesbare Form überführt, um die Echtheit zu verifizieren. Die 16 Dateien hat das Portal daraufhin auf der Code-Plattform Github veröffentlicht.

Die Hackergruppe Anonymous hatte Anfang Februar rund 60.000 E-Mails der US-Firma HBGary entwendet und als Torrent-Datei frei zugänglich gemacht. Das Unternehmen hat sich auf die Abwehr von Cyber-Angriffen spezialisiert und arbeitet unter anderem für die US-Regierung. Nachdem die Firma Anonymous ins Visier genommen und offenbar einige Hintermänner der Aktivisten-Gruppe identifiziert hatte, schlugen die Hacker zurück, stahlen Daten und übernahmen den Twitter-Account des Firmenchefs.

Eine Stuxnet-Version fand Crowdleaks nun in einer E-Mail, welche Firmenchef Aaron Barr von der Antiviren-Software-Firma McAfee zugeschickt wurde. Die Seite veröffentlichte außerdem mehrere E-Mails, aus denen hervorgeht, dass innerhalb von HBGary offenbar darüber nachgedacht wurde, Stuxnet für eigene Zwecke einzusetzen. Das behauptet zumindest Crowdleaks. Die dazugehörigen E-Mails klingen jedenfalls recht aufgeregt: Firmenchef Barr schwört seine Leute darauf ein, öffentlich kein Wort über die Arbeit der Firma mit Stuxnet zu verlieren. Andere HBGary-Mitarbeiter planen derweil schon ein sogenanntes Rootkit, eine Werkzeugsammlung, um fremde Rechner zu übernehmen.

IT-Sicherheitsexperten hatten bereits vorher Zugang zu Stuxnet - und verloren keine gute Zeile über das Programm. Der Programm-Code enthalte einige grundlegende Fehler, berichtet ein Entwickler. So würde der Wurm unverschlüsselt kommunizieren und sich über das Internet verbreiten, was nicht gerade die unauffällige Art sei. Auch würde kein Tarnmechanismus eingesetzt, was das Dekompilieren einfach machen würde. Kurz gesagt: " Peinlich, nicht verblüffend."

Zu einem ähnlichen Schluss kommt auch eine Programmiererin, die von Crowdleaks mit der Analyse des Codes beauftragt worden war: "Es sieht aus, als hätte ein Kind mit Fingerfarbe ein Bild gemalt." Ein Hacker habe den Code nicht geschrieben, es sehe eher nach der Entwicklung eines professionellen Entwickler-Teams aus. Die meisten der verwendeten Routinen seien bekannt, die vier Angriffsmethoden seien das einzig bemerkenswerte.

Die Experten gehen mittlerweile davon aus, dass der Stuxnet-Wurm von zwei verschiedenen Teams programmiert wurde. Die Routinen zum Angriff womöglich von Hackern, das Drumherum von einem zweiten Team aus weniger versierten Software-Entwicklern. Die namentlich nicht genannte Programmiererin sagte gegenüber Crowdleaks, es handele sich wahrscheinlich um eine Auftragsarbeit.

Das Schadprogramm war im Juli 2010 entdeckt worden. Die Software war offenbar mit großem Aufwand dazu entwickelt worden, die iranische Urananreicherungstechnik auf ausgesprochen subtile Weise zu sabotieren - was offenbar auch im großen Stil gelungen ist.

ore

Mehr zum Thema


Forum - Diskutieren Sie über diesen Artikel
insgesamt 4 Beiträge
Alle Kommentare öffnen
Seite 1
johndoe2 14.02.2011
1. Danke Anonymous!
Zitat von sysopCyberkrieg für Heimanwender: Der Stuxnet-Wurm, der die Steuerungscomputer iranischer Atomanlagen befallen hat,*wird*jetzt via Internet*verbreitet. Online-Aktivisten haben die Schadsoftware in geklauten E-Mails entdeckt*- nun wurden Teile des*Quellcodes veröffentlicht. http://www.spiegel.de/netzwelt/web/0,1518,745347,00.html
Eine Sicherheitsfirma mit dem Namen "HBGary", die für das FBI arbeitet, lässt sich 60000 E-Mails klauen. Durch die Analyse der E-Mails wurde bekannt, dass diese "Sicherheitsfirma" den Wurm "Stuxnet" für eigene Zwecke einsetzen wollte und "andere" Mitarbeiter dieser Firma ein neuartiges Rootkit namens "Magenta" planen. Hört sich unsicher und korrupt an! Stuxnet ist wohl nicht der Wunderwurm, der jedem Sicherheitsexperten feuchte Träume beschert. Stuxnet hatte aber konkrete Ziele und hat diese erreicht! Er nutzt dazu vier 0day exploits, macht einen Plattformsprung von Intel/Windows auf Siemens/SPS und findet ohne Netzwerkverbindung Verbreitung (wie in den guten alten Zeiten). Wer Stuxnet verunglimpft klingt wie ein schlechter Verlierer und verschleiert das Wesen dieses Wurms. Stuxnet ist 100% pragmatisch! Verschlüsselung war offensichtlich nicht nötig um die anvisierten Ziele zu treffen. Unperfektes Codedesign könnte mit Zeitdruck zu erklären sein.
orion4713 14.02.2011
2. Der Titel dieses Postings unterliegt der Geheimhaltung
Zitat von sysopCyberkrieg für Heimanwender: Der Stuxnet-Wurm, der die Steuerungscomputer iranischer Atomanlagen befallen hat,*wird*jetzt via Internet*verbreitet. Online-Aktivisten haben die Schadsoftware in geklauten E-Mails entdeckt*- nun wurden Teile des*Quellcodes veröffentlicht. http://www.spiegel.de/netzwelt/web/0,1518,745347,00.html
das dort 2 Programmiererteams gearbeitet haben ist nicht verwunderlich, das eine Team hatte den Zugang zu schaffen, das Hackerteam, das 2. Team waren die Spezialisten für die Simaticsteuerung der Zentrifugen. Man braucht 2 Teams für so ein Programm.
PaulBiwer 14.02.2011
3. Danke Anonymous
Dass die "Security" Firma HBGary für das US-Militär,FBI und Polizei,sowie DuPont etc. arbeitet ist ja an sich nicht verwerflich. Aber dass: -sie Stuxnet stockiert, -sie sich Bank of America anbietet mit klar illegalen Mitteln Wikileaks sowie bekannte,namentlich genannte Reporter anzugreifen, -sie sich der US Chamber of Commerce anbietet,mit illegalen Mitteln Gewerkschaften zu bekämpfen, ist beängstigend.Dass sie zusätzlich: -von dem US Department of Justice an Bank of America empfohlen wurde, -und so unvorstellbar doof war,Hacker als PR-Stunt öffentlich herauszufordern,um dann (wahrscheinlich von Teenagern) so komplett kleingehackt zu werden,wie man es selten erlebt hat (no-Vaseline-approach), lässt mich sprachlos."Sometimes,life is stranger than fiction". Als Spiegel-Fan bedauere ich dass ich für Details auf NYT,Salon.com,sowie ziemlich alle Internet-Tech Zeitschriften verweisen muss.Ausserdem köstlichste Unterhaltung. Sieht wirklich aus als ob hier Teenies gefährliche Verbrecher aufs Kreuz gelegt hätten.
anonymous2010 15.02.2011
4. Anonymous IRC Chatlog
Ich weiss gar nicht was sich hier über das Stuxnet Gewürm so aufgeregt wird. Jetzt haben halt ein paar Leute eine dekompilierte Version von Stuxnet, und? Was sollen sie damit machen? Die Exploits die Stuxnet verwendet hat sind inzwischen alle gepached, abgesehen davon, dass ich mir nicht sicher bin ob die das Ding überhaupt zum laufen bringen. Dazu kommt dann jawohl noch, dass Stuxnet wohl sehr zielspezifisch war. Ein etwaiger Einsatz benötigt also, wenn es nicht wieder dieselben Systeme treffen soll, deutlich mehr vorarbeit als nur ein paar Zeilen Code zu haben. Für jeden der kein Problem damit hat Internetslang zu lesen kann ich nur den IRC Chatlog vom 7.2. aus #ophbgary anpreisen in dem die Vorstandsvorsitzende von HB Gary Inc, ihr Mann und Aron Barr auf ein paar der Beteiligten treffen. Da ist Gold drinne. ;) Ich sagt nur... Gregs Mails sind nun auch released, um die wird unter anderem in dem Chat verhandelt. Der Chatlog ist sehr lang, wenn ihr an interessante Stellen springen wollt sucht peggy : Vorstandsvorsitzende greg : ihr man (Hoglunder) Coganon : Barr zur weiteren identifikation: q: Der Typ von dem Barr behauptet er wäre der Mitgründer von Anonymous (lol) k: Das Mädel welches das rootpasswort besorgt hat barretbrown : Anonymous "Pressesprecher" topiary: startet einen lustigen erpressungsversuch zugunsten des bradly manning gedächtnisfunds ;) Das Mädel das den Admin von HB Gary Federal social engeneered hat war übrigens 16. Viel Spass: http://pastebin.com/x69Akp5L Gepostet wurde der Link ursprünglich bei Ars Technica.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.