Fotostrecke

"Virus Bulletin": Die Stuxnet-Konferenz

Foto: SPIEGEL ONLINE

Kampf gegen Computerwürmer Virenjäger sezieren Sabotage-Software

Stuxnet ist angeblich die erste Software, die zur Sabotage von Industrieanlagen eingesetzt werden kann. Auf einer Konferenz in Vancouver zeigen Forscher nun erstmals, wie der Virus Maschinen manipuliert - und geben neue Hinweise auf das Ziel seiner Attacke.
Aus Vancouver berichtet Stefan Schultz

Die Jahreskonferenz des "Virus Bulletin" ist normalerweise das zentrale Ereignis einer Parallelwelt. Diskussionen von Firmen wie MX Tools, Zynamics oder ArcaBit über Rootkits, Botnets und Zero-Day-Exploits sind nicht gerade die Top-Themen des Technologie-Normalos.

Dieses Jahr ist das anders. Seit einigen Wochen rätselt die Welt über einen neuen Supervirus namens Stuxnet. Die Schad-Software enthält gut ein Dutzend Komponenten, die nur Geheimdienste oder besonders versierte Hacker entwickelt haben können - und hat unter anderem die iranische Atomanlage Buschehr infiziert.

Sicherheitsexperten halten Stuxnet für eine Sabotagewaffe. "Es ist das erste Mal, dass wir einen Virus entdecken, der die Kontrollsysteme von systemrelevanter Infrastruktur attackiert", sagt Liam O'Murchu, Sicherheitsexperte bei der Firma Symantec. O'Murchu ist der vielleicht am besten über Stuxnet informierte Virenkiller weltweit. Er beschäftigt sich seit Monaten mit der Software.

O'Murchu ist es auch zu verdanken, dass die "Virus Bulletin"-Konferenz dieses Mal gewaltige Aufmerksamkeit bekommt. Vor einigen Tagen kündigte er an, auf der Veranstaltung umfassende Forschungsergebnisse über Stuxnet präsentieren zu wollen - die Rückschlüsse darauf zulassen, wer hinter den Attacken steckt und was ihr Ziel war.

Auch das US-Verteidigungsministerium ist interessiert

Die Ankündigung sorgte für einigen Wirbel. Auf der Teilnehmerliste der Konferenz finden sich fünf Mitarbeiter des US-Verteidigungsministeriums, ein Vertreter der israelischen Regierung und ein Gesandter des US-Rüstungskonzerns Lockheed Martin. Kurz nach O'Murchus Ankündigung hätten sich kurzfristig noch rund ein halbes Dutzend neue Teilnehmer registriert, sagt eine Mitarbeiterin des Veranstaltungsteams. "Einige davon wollten nicht sagen, für wen sie arbeiten und haben bar bezahlt."

Der Aufwand dürfte sich gelohnt haben: Auch wenn O'Murchu weder Opfer noch Täter konkret benannte - seine Forschung über Stuxnet ist deutlich vorangeschritten. Tatsächlich präsentierte er auf der Konferenz im kanadischen Vancouver mehrere neue Erkenntnisse und Spuren. Und er demonstrierte eindrucksvoll, was passiert, wenn ein Schad-Code bis ins Kontrollzentrum einer Industrieanlage vordringt.

Schad-Software lässt Ballons platzen - vielleicht auch Pipelines?

Auf einem Tisch stehen ein Laptop, eine schwarze Kiste und eine elektrische Luftpumpe, an der ein rosa Luftballon befestigt ist. Die Kiste stellt einen sogenannten Programmable Logic Controller (PLC) dar. Ein solches Gerät überwacht zum Beispiel die Schaltzentrale eines Atomreaktors. Es bekommt an verschiedenen Stellen Inputs, etwa über die Temperatur in einem Teil des Reaktors. Über die Outputs kann der PLC die Anlage steuern. Registriert er etwa einen Temperaturanstieg, kann er einen Output aktivieren, der ein Kühlaggregat in Gang setzt.

Auf dem Bildschirm des Laptops ist eine Aktion, die ein PLC ausführen kann, als Computer-Code zu sehen. In einer Zeile des Codes leuchtet die Zahl Drei. O'Murchu exportiert den Befehl, er schreibt ihn in das Betriebssystem der schwarzen Box und schaltet sie an. Die Pumpe bläst den Ballon genau drei Sekunden lang auf.

Dann infiziert O'Murchu den Computer mit einem selbstgeschriebenen Virus. Dieser verändert etwas in einer unsichtbaren Datenbibliothek, auf die der Computer-Code zugreift. Der Code auf dem Bildschirm ist augenscheinlich der gleiche, noch immer leuchtet in einer Zeile die Zahl Drei. Wieder exportiert O'Murchu das Programm in die schwarze Box und schaltet sie an. Dieses Mal bläst die Pumpe so lange Luft heraus, bis der Ballon platzt.

"Jetzt stellen Sie sich vor, dass die schwarze Box eine viel größere Pumpe steuert, die zum Beispiel Öl in eine Pipeline bläst", sagt der Virenexperte.

Angriffsziele, Methoden, Taktik - So arbeitet Stuxnet im Detail

Experten glauben inzwischen, dass Stuxnet für genau so einen Sabotageakt programmiert wurde. "Es ging um einen gezielten Angriff auf ganz bestimmte Industrieanlagen oder Infrastrukturen", sagt Andreas Marx, Geschäftsführer der Firma AV-Test, die die Qualität von Anti-Virus-Programmen prüft, SPIEGEL ONLINE. "Nur weiß niemand, welche das sind."

O'Murchus Untersuchungen zeigen, wie präzise das Beuteschema des Virus ist. So befällt die Schad-Software nur zwei bestimmte PLC: das S7-300 und das S7-400. Beide werden vom Münchner Technologiekonzern Siemens produziert.

Rückschlüsse auf das Ziel des Virus lässt diese Erkenntnis aber noch nicht zu: Beide PLC sind universale Automatisierungssysteme, mit denen sich so gut wie alles steuern lässt - abhängig davon, wie man die verschiedenen In- und Outputs definiert und abhängig davon, welches Programm man auf ihnen laufen lässt. O'Murchu verwendet das S7-300 beispielsweise für seinen Ballonversuch.

Harte Arbeit der Rekonstruktion

Doch Stuxnets Beuteschema ist noch viel präziser. Der Virus greift selbst diese beiden PLC nicht grundsätzlich an - sondern nur dann, wenn sie eine bestimmte Konfiguration aufweisen. Die Konfiguration eines PLC definiert, mit welchen Geräten der PLC über seinen In- und Outputs kommuniziert. Die Information wird in Datenblöcken gespeichert. Diese durchsuche Stuxnet, sagt O'Murchu. Aktiv werde der Virus nur, wenn er mindestens 33 Entsprechungen finde.

Theoretisch wäre es möglich, einzelne Werte einzelnen Geräten zuzuordnen, die mit dem PLC verbunden sind - und durch die Kombination der Geräte die Art der Industrieanlage zu definieren, die angegriffen werden soll. In einem Fall hatte O'Murchu bereits Erfolg. So fand er heraus, dass Stuxnet nur aktiv wird, wenn er die Werte "2C CB 00 01" und "offset 50" in den Datenblöcken findet. "Die aber scheinen nur in der Konfiguration des PLC vorzukommen, wenn eine Netzwerkkarte des Typs CP 342/5 daran angeschlossen ist."

Die restlichen Geräte zu rekonstruieren, dürfte allerdings harte Arbeit sein. Denn der Wurm windet sich auch an dieser Stelle. "Je nachdem, welche Werte er findet, nimmt er verschiedene Änderungen an der Konfiguration des PLC vor", sagt O'Murchu.

Stuxnet protokolliert, welche Rechner befallen wurden

Ob das eine weitere Verschleierungstaktik ist oder darauf hinweist, dass der Virus verschiedene Arten von Industrieanlagen angreifen kann, ist nicht bekannt.

Das Ziel des Angriffs zu ermitteln, ist schon schwer genug, noch schwerer dürfte es werden, seinen Urheber aufzutreiben. Doch auch hier verfolgt O'Murchu eine neue Spur. So hat der Forscher inzwischen herausgefunden, wie Stuxnet sich merkt, ob er ein PLC bereits infiziert hat oder nicht: Der Virus schreibt einen Wert in die Registry: 19790509.

Nach amerikanischer Schreibweise entspricht das dem Datum 9. Mai 1979. O'Murchu schaute auf Wikipedia nach, ob an diesem Tag irgendetwas Bemerkenswertes passierte - und wurde fündig: Am 9. Mai 1979 wurde ein jüdisch-iranischer Geschäftsmann namens Habib Elghanian in Iran exekutiert - weil er angeblich als Spion für Israel arbeitete.

In den vergangenen Wochen war immer wieder darüber spekuliert worden, dass das Hauptangriffsziel des Stuxnet-Wurms in Iran liegt. Erst hatte die Regierung in Teheran bestätigt, der Virus sei im iranischen Atomkraftwerk Buschehr entdeckt worden. Dann entdeckte die Firma Symantec ein Internetportal, das von Computern angefunkt wurde, sobald sie sich mit Stuxnet infiziert hatten: 60 Prozent der Signale kamen aus Iran, 20 Prozent aus Indonesien und acht Prozent aus Indien.

Costin Raiu, Virenexperte bei Kaspersky, definiert Iran ebenfalls als das Hauptangriffsziel. "Indien hat fast eine Milliarde Einwohner und ist schon allein deshalb bei den meisten Viren mit das Hauptangriffsziel", sagt er SPIEGEL ONLINE. "Und in Indonesien gibt es nur wenige PLC, bei denen sich ein Angriff überhaupt lohnen würde."

Experten spekulieren über Angriffsziel Urananreicherung

Raiu glaubt allerdings nicht, dass es Stuxnet auf das Atomkraftwerk Buschehr abgesehen hat. "Es ist für das iranische Atomprogramm nur von nachrangiger Bedeutung", sagt er. "Atomkraftwerke haben außerdem in vielen Bereichen doppelte Sicherungsmechanismen. Verursacht der PLC eine Störung, gibt es ein Backup-System, das Schlimmeres verhindert.

Ein viel wahrscheinlicheres Ziel in Iran wäre Raiu zufolge eine Anlage zur Anreicherung von Uran. In solchen Anlagen wird das Metall über Monate zentrifugiert - aus dem angereicherten Uran lassen sich nukleare Sprengköpfe bauen. "Die Anreicherung gelingt aber nur, wenn es keine großen Schwankungen beim Zentrifugieren gibt", sagt Raiu. "Es wäre sehr einfach für eine Schad-Software, Zentrifugen über den PLC aus dem Rhythmus zu bringen. Der Effekt indes wäre gewaltig: Die Anreicherung schlägt fehl, und die Anlagenbetreiber wüssten im besten Fall noch nicht einmal warum. Bestenfalls würde Irans Atomprogramm um Monate zurückgeworfen."

Dass der Angriff von Israel ausgegangen sein soll, ist indes bislang nicht zu belegen gewesen. Nach Angaben der Nachrichtenagentur Reuters hat der Staat Cyber-Angriffe vergangenen Herbst zur "nationalen Priorität" erklärt und auf die gleiche Stufe wie die Raketenabwehr gesetzt. Raiu merkt zudem an, dass die Konstruktion von Stuxnet mehr als eine Million Dollar gekostet haben muss - und dass der Virus auf technisch enorm hohem Niveau konstruiert ist. "Es ist plausibel, dass er von einem Geheimdienst stammt."

Standard-Passwörter erleichtern Stuxnet die Arbeit

Wer auch immer den Virus geschrieben hat - die betroffenen Firmen haben es ihm an einigen Stellen sehr leicht gemacht, die Sicherheitsbarrieren zu überwinden. So findet sich in einer Version des Stuxnet-Virus, die SPIEGEL ONLINE vorliegt, ein Standardpasswort, mit dem man Zugang zu den zwei betroffenen PLC-Systemen von Siemens bekommt. Die Virenschreiber mussten sich nicht die Mühe machen, jedes Mal das Passwort zu entschlüsseln - es ist immer gleich. Egal, für welchen Zweck das S7-300 und das S7-400 verwendet werden.

Ebenfalls peinlich: In Vancouver gab es zu Stuxnet noch ein zweites Panel. Auf diesem präsentierte Microsoft Hinweise dafür, dass eine der Windows-Sicherheitslücken, die der Virus nutzt, bereits vor mehr als einem Jahr thematisiert wurde.

So hat Stuxnet Netzwerkdrucker nach Erkenntnissen von Kaspersky als Schnittstelle zweckentfremdet, um weitere Rechner zu infizieren. Die Fachzeitschrift "Hackin9" wies auf diese Sicherheitslücke bereits im April 2009 hin - gestopft hat sie Microsoft erst vor wenigen Wochen. "Erste Virenangriffe, die später zu Komponenten von Stuxnet wurden, datieren sogar auf Januar 2009 zurück", teilte Microsoft mit.

Das wirft die Frage auf, ob sich zwischen all den Viren, die täglich neu entdeckt werden, schon die Ausläufer einer neuen, noch intelligenteren Schad-Software verstecken - ohne dass es jemand mitbekommt. Die Zahl neuer Viren, die sich zu anspruchsvoller Schad-Software kombinieren lassen, jedenfalls wächst dramatisch. Laut einer Erhebung von AV-Test wurden 2006 rund 100.000 neue Viren entdeckt. Im vergangenen Jahr waren es 1,2 Millionen.

Die Wiedergabe wurde unterbrochen.