Schwerpunkte

Kaspersky Lab

Stuxnet - die ersten fünf Opfer identifiziert

12. November 2014, 14:04 Uhr   |  Günter Herkommer

Stuxnet - die ersten fünf Opfer identifiziert

Die Stuxnet-Attacke startete durch die Infektion von fünf sorgfältig ausgewählten Organisationen. Entdeckt wurde der Wurm im Jahr 2010, aktiv war er bereits im Jahr 2009.

Seit der berühmt-berüchtigte Stuxnet-Wurm vor mehr als vier Jahren entdeckt wurde, ranken sich viele Geschichten und offene Fragen um den Schädling. Nach einer Analyse von über zweitausend Dateien haben Experten von Kaspersky Lab nach eigener Aussage nun die ersten fünf Opfer von Stuxnet identifiziert.

Von Beginn war klar, dass es sich bei der gesamten Attacke um eine zielgerichtete Operation handelte. Der Code des Stuxnet-Wurms erschien professionell programmiert und exklusiv zu sein. Zudem gab es Hinweise darauf, dass sehr teure Zero-Day-Schwachstellen zum Einsatz kamen. Allerdings war bis heute unbekannt, welche Art von Organisationen zuerst infiziert wurde und wie es der Schädling schlussendlich bis zu den Uran anreichernden Zentrifugen innerhalb streng geheimer Einrichtungen schaffen konnte.

Infografik zu den ersten Stuxnetopfern
© Kaspersky Lab

Der berüchtigte Stuxnet-Wurm wurde im Jahr 2010 entdeckt, war aber bereits 2009 aktiv. Die Attacke startete durch die Infektion von fünf sorgfältig ausgewählten Organisationen.

Nach Erkenntnissen von Kaspersky Lab waren alle fünf Organisationen (siehe Grafik), die zu Beginn der Stuxnet-Kampagne attackiert wurden – also zwischen den Jahren 2009 und 2010 –, im ICS-Bereich (Industrial Control Systems) im Iran tätig, entweder um industrielle Steuerungssysteme (ICS) zu entwickeln oder um hierfür Materialien beziehungsweise Teile zu liefern. Die fünfte von Stuxnet infizierte Organisation sei besonders interessant, weil diese neben anderen Produkten für die industrielle Automation auch Uran anreichernde Zentrifugen herstellt. Offenbar gingen die Angreifer davon aus, dass diese Organisationen im Datenaustausch mit ihren Kunden stehen und somit der Schädling über die Zulieferer in die anvisierten Zieleobjekte eingeschleust werden kann.

Kaspersky Lab zufolge habe sich der Stuxnet-Wurm nicht ausschließlich über infizierte USB-Sticks verbreitet, die an PCs angeschlossen wurden. Diese bisher vermutete Theorie erklärte, wie Malware in eine Einrichtung eingeschleust werden konnte, die keine direkte Verbindung mit dem Internet hatte. Allerdings zeige eine nähere Untersuchung der allerersten Attacke von Stuxnet, dass das erste Sample (Stuxnet.a) nur wenige Stunden jung war, als es auf einem PC der angegriffenen Organisation landete. Nach diesem straffen Zeitrahmen sei es nur schwer vorstellbar, dass ein Angreifer den Schadcode erstellt, ihn auf einen USB-Stick gepackt und innerhalb weniger Stunden in der anvisierten Organisation eingeschleust hat. Ergo geht Kaspersky Lab davon aus, dass in diesem Fall eine Infizierung über andere Techniken als die via USB wahrscheinlich ist.

Bereits Anfang diesen Jahres hatte der Security-Experte Ralph Langner nach drei Jahren akribischer Forschungsarbeit seine Erkenntnisse über das volle Ausmaß des Stuxnet-Angriffes in der Studie 'To Kill a Centrifuge' dokumentiert.

Auf Facebook teilen Auf Twitter teilen Auf Linkedin teilen Via Mail teilen

Das könnte Sie auch interessieren

Verwandte Artikel

Kaspersky Lab GmbH