Trojanisches Pferd gegen den Iran?

In ihrer Online-Ausgabe berichtet die FAZ nach einer sehr detaillierten Recherche, dass nun ein Schadprogramm entdeckt wurde, welches eine sehr komplexe Struktur und eine exakte Fertigung aufweist und einigen Indizien zufolge als digitale Waffe gegen iranische Urananreicherungsanlagen eingesetzt worden sein könnte.

Als das Schadprogramm – es handelte sich um einen Trojaner – zuerst entdeckt wurde, war auf den ersten Blick nichts weiter ungewöhnlich daran, bis auf die Tatsache, dass zur Infizierung einen Zero-Day-Exploit von Windows nutzte. Da diese in der Regel sehr selten und daher auch kostspielig sind, ließ dies die Analysten hellhörig werden. Dass dergleichen Wertvolles für einen Trojaner verwendet wird, ist ausgesprochen unüblich, vielmehr werden solche Lücken um einige Hunderttausend Euro gehandelt. Eine Verwendung einer solchen Lücke für das übliche kriminelle Tagewerk – etwa das Ausspähen von Passwörtern oder Kontodaten – kommt eigentlich kaum bis gar nicht vor.

Als man dann zur näheren Beobachtung des Virus einen USB-Stick damit infizierte und diesen an einen gesicherten USB-Port anschloss, sorgte dieser zum ersten Mal für Verblüffung. Das Anschließen alleine reichte aus, um das Programm aktiv werden zu lassen. Es umging die Sicherheitsmaßnahmen und nistete sich heimlich auf dem Rechner ein. Dabei spielte es keine Rolle, ob als OS nun Win2000 oder das neue Windows 7 im Einsatz war, überall war der Virus dazu fähig, sich auf den Rechner einzuschleichen. Je weiter man grub, desto mehr unbekannte und daher außergewöhnlich wertvolle und leistungsfähige Exploits kamen zu Tage. Die noch immer andauernden Analysen ergaben bisher, dass vier Zero-Day-Exploits sowie auch zwei digitale Unterschriften – wie sie etwa in Grafikkartentreibern verwendet werden – in dem Schädling ihres Missbrauchs harrten.

Des weiteren stellte sich heraus, dass die innerste Codeschicht des Programms, das mittlerweile auf den Namen „Stuxnet“ hört, dazu in der Lage ist, Industriecomputersteueranlagen zu manipulieren. Die Abstimmung soll auf das sehr weit verbreitete S-7-System von Siemens erfolgt sein, das die Koordination der jeweiligen Produktionsprozesse der – zumeist in großer Zahl vorhandenen – gesteuerten Anlagen (SPS-Steueranlagen) unter Windows vornimmt. Über den infizierten Computer sucht der Schädling dann nach Installationen des Koordinationsprogramms und nutzt dessen Funktion als zentrale Schnittstelle, um in die einzelnen SPS-Steuerungsanlagen zu gelangen, wo er in der Folge Manipulationen vornehmen kann. Eventuell – so mutmaßt die FAZ mit Verweis auf die noch nicht abgeschlossenen Analysen – könnte Stuxnet sogar in der Lage sein, die graphischen Anzeigen derart zu manipulieren, dass die bedienenden Personen keine Chance auf einen Reaktion hätten. Dies, weil heutzutage große Industrieanlagen fast vollständig über Computer gesteuert und eben auch überwacht werden.

Wie die FAZ weiter zu berichten weiß, deutet eine doch recht imposante Indizienkette darauf hin, dass dieser Trojaner eventuell dazu gedacht war, das iranische Atomprogramm – genauer gesagt, die mit Siemens S-7 Steueranlagen kontrollierten Urananreicherungszentrifugen – zu sabotieren. Die zu Tausenden in Serie geschalteten Steuerungsmodule der Zentrifugen würden normalerweise über ein einziges Netz an die zentrale Koordinationseinheit angebunden, wo sie Vorgaben empfangen und ihre Messdaten abliefern. Die bisher analysierte Struktur von Stuxnet würde „perfekt“ auf die Manipulation von derart aufgebauten Anlagen passen. Zudem sind etwa 60 Prozent der Stuxnet-Infizierungen im Iran verzeichnet worden und der Schädling ist dahingehend programmiert, dass er sich ab dem Januar 2009 nicht mehr weiter verbreitet. Im Juli 2009 soll es dann zu einem nicht näher bekannten Störfall in der Anlage Natanz gekommen sein, in welcher die erwähnten Zentrifugen beheimatet sind. Etwa zeitgleich ist der Leiter der iranischen Atombehörde Gholam Reza Aghazadeh zurückgetreten. Alles Ereignisse, die die Annahme eines gezielten Angriffes durchaus plausibel erschienen lassen würden.

Zur Frage, wie die Angreifer an die notwendigen Kenntnisse über den genauen Aufbau des iranischen Systems kamen, gibt es nur Mutmaßungen, ebenso, wer denn nun genau hinter dieser Aktion steht. Laut diversen Experten, die die FAZ befragte, sei es jedoch ausgesprochen wahrscheinlich, dass es eine Organisation mit staatlichem Hintergrund gewesen sein muss, da nur ein solcher über die notwendigen Fähigkeiten und Kapazitäten verfügen kann. Zum Umfang an Aufwand und Qualität meinte ein „Gesprächspartner“ zur FAZ: „So etwas bauen große Staaten zusammen, wenn die Alternative bei einem Misserfolg wäre, einen Krieg anzufangen.“

Abzuwehren sei ein solcher Angriff im übrigen so gut wie gar nicht. Dieser Vorfall zeigt auf, dass der Schutz von neuralgischen Industrieanlagen nicht nur durch bauliche Schutzmaßnahmen gewährleistet werden kann.

Vielen Dank an unseren Leser bummsbass
für den Hinweis zu dieser Meldung!