Bits vor Bomben: Wie Stuxnet die iranischen Atomträume verkrüppelte

Die Zukunft der Kriegsführung mag gerade erst begonnen haben, aber anstatt durch eine Explosion angekündigt zu werden, begann sie ohne ein Geräusch oder ein einziges Opfer.

Es ist das erste seiner Art und könnte ein Signal dafür sein, wie alle Kriege von nun an geführt werden. Es ist eine Cyberwaffe, die so präzise ist, dass sie ein Ziel effektiver zerstören kann als ein herkömmlicher Sprengstoff und sich dann einfach selbst löscht, sodass die Opfer sich selbst die Schuld geben müssen. Es ist eine Waffe, die so schrecklich ist, dass sie möglicherweise mehr als nur physische Objekte beschädigen kann, sondern Ideen töten kann. Es ist der Stuxnet-Wurm, der von vielen als die weltweit erste echte Waffe der Cyberkriegsführung bezeichnet wird, und sein erstes Ziel war der Iran.

Der Beginn der Cyberkriegsführung

Stuxnet ist fast wie etwas aus einem Roman von Tom Clancy. Anstatt Raketen einzusenden, um ein Atomkraftwerk zu zerstören, das die gesamte Region und die Welt bedroht, und das von einem Präsidenten beaufsichtigt wird, der behauptet, er würde gerne sehen, dass eine ganze Rasse von Menschen "von der Karte gewischt" wird, ein einfacher Computervirus kann eingeführt werden, die die Arbeit weitaus effektiver erledigen. Der Angriff auf eine Struktur mit Raketen kann zum Krieg führen, und außerdem können Gebäude wieder aufgebaut werden. Aber ein System so vollständig zu infizieren, dass die Leute, die es benutzen, anfangen, an ihrem Glauben an ihre eigenen Fähigkeiten zu zweifeln, werden weitaus verheerendere langfristige Auswirkungen haben.

In einem seltenen Moment der Offenheit gegenüber dem Iran hat die Nation bestätigt, dass die ursprünglich im Juli entdeckte Stuxnet-Malware (der Name stammt von im Code vergrabenen Schlüsselwörtern) die nuklearen Ambitionen des Landes beschädigt hat. Obwohl der Iran den Vorfall herunterspielt, deuten einige Berichte darauf hin, dass der Wurm so effektiv war, dass er das iranische Atomprogramm möglicherweise um mehrere Jahre zurückgeworfen hat.

Anstatt einfach ein System zu infizieren und alles zu zerstören, was es berührt, ist Stuxnet weitaus ausgefeilter und auch weitaus effektiver.

Der Wurm ist intelligent und anpassungsfähig. Wenn es in ein neues System eintritt, bleibt es inaktiv und lernt das Sicherheitssystem des Computers. Sobald es ohne Alarm ausgelöst werden kann, sucht es nach ganz bestimmten Zielen und beginnt, bestimmte Systeme anzugreifen. Anstatt einfach seine Ziele zu zerstören, tut es etwas weitaus Effektiveres - es führt sie in die Irre.

In einem nuklearen Anreicherungsprogramm ist eine Zentrifuge ein grundlegendes Instrument zur Raffination des Urans. Jede gebaute Zentrifuge folgt der gleichen Grundmechanik, aber der deutsche Hersteller Siemens bietet das, was viele für die besten der Branche halten. Stuxnet suchte die Siemens-Steuerungen auf und übernahm das Kommando über die Drehung der Zentrifuge. Aber anstatt die Maschinen einfach zum Drehen zu zwingen, bis sie sich selbst zerstört hatten - was der Wurm mehr als konnte -, nahm Stuxnet subtile und weitaus umständlichere Änderungen an den Maschinen vor.

Wenn eine Uranprobe zur Verfeinerung in eine mit Stuxnet infizierte Zentrifuge eingeführt wurde, befahl das Virus der Maschine, sich schneller als vorgesehen zu drehen und dann plötzlich anzuhalten. Das Ergebnis waren Tausende von Maschinen, die Jahre früher als geplant abgenutzt waren, und vor allem zerstörte Proben. Der eigentliche Trick des Virus bestand jedoch darin, dass er während der Sabotage der Maschinerie die Messwerte verfälschte und den Eindruck erweckte, als würde alles innerhalb der erwarteten Parameter funktionieren.

Nach Monaten begannen sich die Zentrifugen abzunutzen und zu brechen, aber da die Messwerte immer noch innerhalb der Normen zu liegen schienen, begannen die mit dem Projekt verbundenen Wissenschaftler, sich selbst zu erraten. Die iranischen Sicherheitskräfte begannen, die Fehler zu untersuchen, und die Mitarbeiter der Atomanlagen lebten unter einer Wolke von Angst und Misstrauen. Dies dauerte über ein Jahr. Wenn es dem Virus gelungen wäre, der Entdeckung vollständig zu entgehen, hätte es sich schließlich vollständig gelöscht und die Iraner gefragt, was sie falsch gemacht haben.

17 Monate lang gelang es dem Virus, leise in die iranischen Systeme einzudringen, lebenswichtige Proben zu zerstören und die notwendige Ausrüstung zu beschädigen. Vielleicht mehr als der Schaden an der Maschine und den Proben war das Chaos, in das das Programm geworfen wurde.

Die Iraner geben widerwillig einen Teil des Schadens zu

Der iranische Präsident Mahmoud Ahmadinejad hat behauptet, Stuxnet habe es "geschafft, Probleme für eine begrenzte Anzahl unserer Zentrifugen zu schaffen". Dies ist eine Änderung gegenüber der früheren Behauptung des Iran, der Wurm habe 30.000 Computer infiziert, die Nuklearanlagen jedoch nicht beeinträchtigt. Einige Berichte deuten darauf hin, dass in der Anlage in Natanz, in der die iranischen Anreicherungsprogramme untergebracht sind, 5.084 von 8.856 Zentrifugen, die in den iranischen Nuklearanlagen eingesetzt werden, möglicherweise aufgrund von Schäden offline geschaltet wurden und die Anlage aufgrund von mindestens zweimal stillgelegt werden musste die Auswirkungen des Virus.

Stuxnet zielte auch auf die in Russland hergestellte Dampfturbine ab, die die Anlage in Bushehr antreibt. Es scheint jedoch, dass das Virus entdeckt wurde, bevor ein wirklicher Schaden angerichtet werden konnte. Wenn das Virus nicht entdeckt worden wäre, hätte es schließlich die Drehzahl der Turbinen zu hoch laufen lassen und das gesamte Kraftwerk irreparabel beschädigt. Temperatur- und Kühlsysteme wurden ebenfalls als Ziele identifiziert, aber die Ergebnisse des Wurms auf diesen Systemen sind nicht klar.

Die Entdeckung des Wurms

Im Juni dieses Jahres fand der in Belarus ansässige Antivirenspezialist VirusBlokAda ein bisher unbekanntes Malware-Programm auf dem Computer eines iranischen Kunden. Nach einer Untersuchung stellte das Antiviren-Unternehmen fest, dass es speziell für SCADA-Managementsysteme (Aufsichtskontrolle und Datenerfassung) von Siemens entwickelt wurde, die in der Großfertigung eingesetzt werden. Der erste Hinweis darauf, dass etwas an diesem Wurm anders war, war, dass nach dem Auslösen des Alarms jedes Unternehmen, das versuchte, den Alarm weiterzuleiten, anschließend angegriffen und gezwungen wurde, mindestens 24 Stunden lang herunterzufahren. Die Methoden und Gründe für die Angriffe sind immer noch ein Rätsel.

Nachdem der Virus entdeckt worden war, begannen Unternehmen wie Symantec und Kaspersky, zwei der größten Antiviren-Unternehmen der Welt, sowie mehrere Geheimdienste, Stuxnet zu untersuchen und fanden Ergebnisse, die schnell klar machten, dass es sich nicht um gewöhnliche Malware handelte.

Bis Ende September hatte Symantec festgestellt, dass sich fast 60 Prozent aller weltweit infizierten Maschinen im Iran befinden. Nachdem dies entdeckt worden war, wurde immer deutlicher, dass der Virus nicht nur dazu gedacht war, Probleme zu verursachen, wie es viele Malware-Teile sind, sondern einen ganz bestimmten Zweck und ein bestimmtes Ziel hatte. Das Niveau der Raffinesse war auch weit über allem, was zuvor gesehen wurde, und veranlasste Ralph Langner, den Computersicherheitsexperten, der den Virus zum ersten Mal entdeckte, zu der Erklärung, dass es „wie die Ankunft einer F-35 auf dem Schlachtfeld des Ersten Weltkriegs“ sei.

Wie es funktioniert hat

Stuxnet zielt speziell auf Windows 7-Betriebssysteme ab, bei denen es sich nicht zufällig um dasselbe Betriebssystem handelt, das im iranischen Kernkraftwerk verwendet wird. Der Wurm verwendet vier Zero-Day-Angriffe und zielt speziell auf die WinCC / PCS 7 SCADA-Software von Siemens ab. Eine Zero-Day-Bedrohung ist eine Sicherheitsanfälligkeit, die vom Hersteller entweder unbekannt oder nicht angekündigt ist. Dies sind im Allgemeinen systemkritische Sicherheitslücken, die sofort behoben werden, sobald sie entdeckt wurden. In diesem Fall waren die beiden Zero-Day-Elemente entdeckt worden und standen kurz vor der Veröffentlichung eines Fixes, aber zwei andere wurden von niemandem entdeckt. Sobald sich der Wurm im System befand, begann er, andere Systeme in dem lokalen Netzwerk, auf das er abzielte, auszunutzen.

Während sich Stuxnet durch die iranischen Systeme arbeitete, wurde es von der Sicherheit des Systems aufgefordert, ein legitimes Zertifikat vorzulegen. Die Malware präsentierte dann zwei authentische Zertifikate, eines vom Schaltungshersteller JMicron und das andere vom Computerhardwarehersteller Realtek. Beide Unternehmen befinden sich in Taiwan, nur wenige Blocks voneinander entfernt, und es wurde bestätigt, dass beide Zertifikate gestohlen wurden. Diese authentischen Zertifikate sind einer der Gründe, warum der Wurm so lange unentdeckt bleiben konnte.

Die Malware konnte auch über Peer-to-Peer-Sharing kommunizieren, wenn eine Internetverbindung vorhanden war, sodass sie bei Bedarf ein Upgrade durchführen und über ihren Fortschritt berichten konnte. Die Server, mit denen Stuxnet kommunizierte, befanden sich in Dänemark und Malaysia. Beide wurden heruntergefahren, sobald bestätigt wurde, dass der Wurm die Natanz-Einrichtung betreten hat.

Als sich Stuxnet in den iranischen Systemen ausbreitete, zielte es nur auf die „Frequenzumrichter“ ab, die für Zentrifugen verantwortlich waren. Der Wurm verwendete Frequenzumrichter als Marker und suchte speziell nach Laufwerken von zwei Anbietern: Vacon mit Sitz in Finnland und Fararo Paya mit Sitz im Iran. Es überwacht dann die angegebenen Frequenzen und greift nur an, wenn ein System zwischen 807 Hz und 1210 Hz läuft. Diese relativ seltene Frequenz erklärt, wie der Wurm trotz seiner weltweiten Verbreitung gezielt auf iranische Kernkraftwerke abzielen kann. Stuxnet ändert dann die Ausgangsfrequenz, was sich auf die angeschlossenen Motoren auswirkt. Obwohl mindestens 15 andere Siemens-Systeme eine Infektion gemeldet haben, wurde keines durch den Wurm geschädigt.

Um zuerst die Atomanlage zu erreichen, musste der Wurm in das System gebracht werden, möglicherweise auf einem USB-Laufwerk. Der Iran verwendet ein "Luftspalt" -Sicherheitssystem, was bedeutet, dass die Einrichtung keine Verbindung zum Internet hat. Dies könnte erklären, warum sich der Wurm bisher ausgebreitet hat. Die einzige Möglichkeit, das System zu infizieren, besteht darin, auf ein weites Gebiet abzuzielen und als Trojaner zu fungieren, während darauf gewartet wird, dass ein iranischer Nuklearangestellter eine infizierte Datei von der Einrichtung entfernt und physisch erhält Bring es in die Pflanze. Aus diesem Grund wird es fast unmöglich sein, genau zu wissen, wo und wann die Infektion begann, da sie möglicherweise von mehreren ahnungslosen Mitarbeitern eingeschleppt wurde.

Aber woher kam es und wer hat es entwickelt?

Der Verdacht, woher der Wurm stammt, ist weit verbreitet, und der wahrscheinlichste Einzelverdächtige ist Israel. Nach eingehender Untersuchung des Virus gab Kaspersky Labs bekannt, dass der Grad des Angriffs und die Raffinesse, mit der er ausgeführt wurde, nur „mit nationalstaatlicher Unterstützung“ durchgeführt werden konnten, was private Hacker-Gruppen oder sogar größere Gruppen ausschließt Hacking als Mittel zum Zweck eingesetzt, wie die russische Mafia, die verdächtigt wird, einen trojanischen Wurm geschaffen zu haben, der dafür verantwortlich ist, einer britischen Bank über 1 Million Dollar gestohlen zu haben.

Israel gibt voll und ganz zu, dass es Cyberkrieg als eine Säule seiner Verteidigungsdoktrin betrachtet, und die als Einheit 8200 bekannte Gruppe, eine israelische Verteidigungstruppe, die als ungefähres Äquivalent der NSA der Vereinigten Staaten angesehen wird, wäre die wahrscheinlichste verantwortliche Gruppe.

Die Einheit 8200 ist die größte Division der israelischen Streitkräfte, und dennoch ist der Großteil ihrer Operationen unbekannt - selbst die Identität des Brigadegenerals, der für die Einheit verantwortlich ist, wird klassifiziert. Ein Bericht behauptet, dass die Einheit 8200 während eines israelischen Luftangriffs auf eine mutmaßliche syrische Atomanlage im Jahr 2007 einen geheimen Cyber-Kill-Schalter aktiviert hat, der große Teile des syrischen Radars deaktiviert hat.

Um dieser Theorie noch mehr Glauben zu schenken, hat Israel 2009 das Datum, an dem der Iran voraussichtlich rudimentäre Atomwaffen haben wird, auf 2014 verschoben. Dies könnte auf die Anhörung von Problemen zurückzuführen sein oder darauf hindeuten, dass Israel etwas wusste, das niemand wusste sonst tat.

Die USA sind ebenfalls ein Hauptverdächtiger, und im Mai dieses Jahres gab der Iran an, 30 Personen festgenommen zu haben, von denen er behauptet, sie hätten den USA geholfen, einen „Cyberkrieg“ gegen den Iran zu führen. Der Iran hat auch behauptet, die Bush-Regierung habe einen 400-Millionen-Dollar-Plan zur Destabilisierung des Iran durch Cyber-Angriffe finanziert. Der Iran hat behauptet, die Obama-Regierung habe denselben Plan fortgesetzt und sogar einige der Projekte beschleunigt. Kritiker haben erklärt, dass die Behauptungen des Iran lediglich eine Ausrede sind, um „unerwünschte“ auszumerzen, und die Verhaftungen sind einer von vielen Streitpunkten zwischen dem Iran und den USA

Aber während das Virus weiter untersucht wird und mehr Antworten bezüglich seiner Funktion auftauchen, werden immer mehr Rätsel um seine Herkunft aufgeworfen.

Laut Microsoft hätte der Virus mindestens 10.000 Stunden Codierung und ein Team von fünf oder mehr Personen mindestens sechs Monate dedizierter Arbeit in Anspruch genommen. Viele spekulieren jetzt, dass es die gemeinsamen Anstrengungen der Geheimdienste mehrerer Nationen erfordern würde, die alle zusammenarbeiten, um den Wurm zu erschaffen. Während die Israelis die Entschlossenheit und die Techniker haben könnten, behaupten einige, dass es das technologische Niveau der Vereinigten Staaten erfordern würde, um die Malware zu codieren. Die genaue Beschaffenheit der Siemens-Maschinen in dem Maße zu kennen, wie es Stuxnet getan hat, könnte auf eine deutsche Beteiligung hindeuten, und die Russen könnten an der Detaillierung der Spezifikationen der verwendeten russischen Maschinen beteiligt gewesen sein. Der Wurm war auf Frequenzen zugeschnitten, an denen finnische Komponenten beteiligt waren, was darauf hindeutet, dass Finnland und möglicherweise auch die NATO beteiligt sind.Aber es gibt noch mehr Rätsel.

Der Wurm wurde nicht aufgrund seiner Aktionen in den iranischen Nuklearanlagen entdeckt, sondern aufgrund der weit verbreiteten Infektion von Stuxnet. Der zentrale Verarbeitungskern der iranischen Kernverarbeitungsanlage befindet sich tief unter der Erde und ist vollständig vom Internet abgeschnitten. Damit der Wurm das System infizieren kann, muss er auf dem Computer oder einem Flash-Laufwerk eines Mitarbeiters installiert sein. Alles, was es braucht, ist ein einzelner Mitarbeiter, der die Arbeit mit nach Hause nimmt, dann zurückkehrt und etwas so Unschädliches wie ein Flash-Laufwerk in den Computer einfügt, und Stuxnet würde seinen stillen Marsch zu den spezifischen Maschinen beginnen, die es wollte.

Aber dann stellt sich die Frage: Warum haben die Verantwortlichen des Virus eine so unglaublich ausgefeilte Cyberwaffe entwickelt und sie dann in einer wohl so schlampigen Methode veröffentlicht? Wenn das Ziel darin bestand, unentdeckt zu bleiben, ist die Freisetzung eines Virus, der sich mit der angegebenen Geschwindigkeit replizieren kann, schlampig. Es ging darum, wann und nicht ob das Virus entdeckt werden würde.

Der wahrscheinlichste Grund ist, dass es den Entwicklern einfach egal war. Eine sorgfältigere Installation der Malware hätte viel mehr Zeit in Anspruch genommen, und die Übertragung des Wurms in die spezifischen Systeme könnte viel länger dauern. Wenn ein Land nach sofortigen Ergebnissen sucht, um das zu stoppen, was es als bevorstehenden Angriff ansehen könnte, kann Geschwindigkeit die Vorsicht übertreffen. Das iranische Kernkraftwerk ist das einzige infizierte System, das einen tatsächlichen Schaden durch Stuxnet meldet. Daher scheint das Risiko für andere Systeme minimal zu sein.

Wie geht es weiter?

Siemens hat ein Erkennungs- und Entfernungsprogramm für Stuxnet veröffentlicht, aber der Iran bemüht sich immer noch, die Malware vollständig zu entfernen. Noch am 23. November musste das iranische Werk Natanz stillgelegt werden, und weitere Verzögerungen werden erwartet. Schließlich sollte das Atomprogramm wieder in Betrieb sein.

In einer separaten, aber möglicherweise verwandten Geschichte wurden Anfang dieser Woche zwei iranische Wissenschaftler durch separate, aber identische Bombenanschläge in Teheran, Iran, getötet. Auf einer Pressekonferenz am folgenden Tag erklärte Präsident Ahmadinedschad gegenüber Reportern: "Zweifellos ist die Hand des zionistischen Regimes und der westlichen Regierungen an dem Attentat beteiligt."

Die iranischen Beamten gaben heute an, bei den Bombenanschlägen mehrere Personen festgenommen zu haben, und obwohl die Identität der Verdächtigen noch nicht bekannt gegeben wurde, sagte der iranische Geheimdienstminister: „Die drei Spionageagenturen Mossad, CIA und MI6 hatten eine Rolle bei den (Angriffen) und Mit der Verhaftung dieser Menschen werden wir neue Hinweise finden, um andere Elemente zu verhaften. “

Die Kombination der Bombenanschläge und der durch das Stuxnet-Virus verursachten Schäden dürfte die bevorstehenden Gespräche zwischen dem Iran und einer Konföderation aus sechs Nationen aus China, Russland, Frankreich, Großbritannien, Deutschland und den USA am 6. und 7. Dezember stark belasten Gespräche sollen den Dialog über mögliche nukleare Ambitionen des Iran fortsetzen.