Computerviren

Wege in den digitalen Abgrund

Von Peter Welchering
13.06.2012
, 11:00
Die Wirkung ist ähnlich, wenn ein Virus den Computer befällt
Die neuesten Virenfunde in Iran zeigen, dass digitale Angriffe immer präziser werden. Für die Vereinten Nationen wird diese Hochrüstung zu einem Problem.
ANZEIGE

Die Computerviren Stuxnet und Flame gelten als zwei Softwaremodule einer effizienten Angriffsplattform. Allerdings ist die Spionagesoftware Flame erst viel später nach der Angriffssoftware Stuxnet eingesetzt worden. Stuxnet hatte ungefähr 1000 Uranzentrifugen in iranischen Atomanlagen zerstört und gilt als amerikanisch-israelische Koproduktion der digitalen Waffenentwicklung. Stuxnet funktionierte aber nicht wie geplant, sondern brach im Jahr 2010 regelrecht aus und infizierte ungefähr 70 000 Industriesteuerungen in aller Herren Länder. Die Schadsoftware war nicht ausreichend auf die in Natanz eingesetzte Computerinfrastruktur angepasst worden. Das erkannten die verantwortlichen Militärs rasch und gaben die Entwicklung der Spionagesoftware Flame in Auftrag, die nach einem Angriff auf ein iranisches Ölterminal im April 2012 entdeckt wurde. Flame soll einem digitalen Angriff mit einer Sabotagewaffe wie Stuxnet die erforderliche chirurgische Präzision verleihen, die der Angriff auf die Uranzentrifugen in Natanz noch hatte vermissen lassen.

ANZEIGE

Entwickelt wurde Stuxnet während der Amtszeit des amerikanischen Präsidenten George W. Bush im Rahmen des Projekts „Olympische Spiele“, in dem israelische und amerikanische Cybertruppen zusammenarbeiteten. Grundlage der Stuxnet-Entwicklung war ein Testangriff, den Computerfachleute des amerikanischen Heimatschutzministeriums im Jahr 2007 in einem staatlichen Waffenlabor im Bundesstaat Idaho gefahren hatten. In dem Waffenversuch unter dem Codenamen „Aurora“ wurde nachgewiesen, wie einfach es ist, einen Dieselgenerator zur Explosion zu bringen, indem die Steuerdaten vom Maschinenleitstand abgefangen und stattdessen völlig überhöhte Werte an den Generator und dessen Steuerung geschickt werden.

Die Computerexperten hatten dafür eine Sicherheitslücke in der Steuerungseinheit, im Scada-System, ausgenutzt. Dasselbe Steuerungssystem wird in den iranischen Atomforschungsanlagen verwendet. Mit diesem System und der Siemens-Software Windows CC-S7 zur Überwachung von Maschinensteuerungen, die ebenfalls noch immer in Natanz eingesetzt wird, hatten die Fachleute der israelischen Cybereinheit schon Erfahrung gesammelt. Sie hatten in der israelischen Atomanlage Dimona die in Natanz stehenden Uranzentrifugen nachgebaut.

Genau da lag das Problem

Angriffssoftware muss viele Details des Zielrechners kennen, um einerseits den erwünschten Schaden anrichten zu können, ihn aber andererseits auf das Zielobjekt zu beschränken. Sie muss zum Beispiel über die genauen Betriebssystemversionen auf dem Zielsystem, die verwendeten Protokolle, die verwendeten Ports für die Datenübertragung, installierte Schutzsoftware oder auch einzelne Sicherheitskomponenten informiert sein. Nur dann lässt sich ein Angriff mit der notwendigen chirurgischen Präzision durchführen. Genau da lag das Problem: Beim Aurora-Experiment hatte sich herausgestellt, dass die Schadsoftware alle Generatoren explodieren ließ, deren Steuerungssystem dieselbe Sicherheitslücke hatte wie die Scada-Systeme. Die Schadsoftware wurde mit einem Software-Update für die Steuerungseinheit eingeschleust und war von diesem Zeitpunkt an nicht mehr kontrollierbar.

ANZEIGE

Die Stuxnet-Entwickler wussten alles über die in Natanz eingesetzten Scada-Systeme. Die Daten hatte ihnen eine Spionagesoftware namens Duqu besorgt. Duqu hatte aber nur die Rechner von Herstellern solcher Industriesteuerungsanlagen ausspioniert. Deshalb wussten die Stuxnet-Entwickler zu wenig über die in Natanz verwendeten Laborcomputer mit ihren Netzwerken und deren Auswirkungen auf die Maschinenleitstände und Industriesteuerungen. So entschlossen sich die Projektverantwortlichen, ihre digitale Granate über iranische Gewährsleute direkt auf die Rechner der Maschinenleitstände aufspielen zu lassen. Das Mittel der Wahl waren USB-Sticks, die mit Stuxnet infiziert waren. Auf diese Weise war der Angriff kontrollierbar und konnte auf die Anlage in Natanz beschränkt werden.

Dann passierte allerdings im Jahr 2010 eine Panne. Ein iranischer Wartungsingenieur hatte seinen Laptop mit den Rechnern im Maschinenleitstand der Zentrifugen verbunden, um routinemäßige Wartungsarbeiten durchzuführen. Damit Stuxnet solche Computer nicht befällt, prüft eine Verbreitungsroutine, ob auf dem Zielsystem eine Windows-CC-7-Software vorhanden ist. Damit wollten die Stuxnet-Entwickler ausschließen, dass der Schädling sich über die verteilten USB-Sticks auf beliebigen Computern einnistet. Auf dem Laptop des Wartungsingenieurs war vor dem Einsatz in Natanz eine Scada-Simulation gelaufen, und aufgrund eines Softwarefehlers waren die entsprechenden temporären Objektdateien nicht gelöscht worden. Das war verhängnisvoll. Denn nun installierte sich Stuxnet auf dem Wartungsrechner und konnte sich anschließend über das Internet in alle Welt verbreiten, als der PC-Besitzer im Web surfte.

ANZEIGE

Von Kaspersky entdeckt

Solche Pannen mussten für die Zukunft ausgeschlossen werden. In dieser Situation ist vermutlich Flame entstanden, um das Zielsystem so genau zu analysieren, dass Sabotagesoftware nur auf ihrem eindeutigen Ziel ausgeführt wird. Der Flame-Virus ist von Schadsoftwareexperten des russischen Antivirenherstellers Kaspersky Ende Mai 2012 entdeckt worden. Im Auftrag der Internationalen Fernmeldeunion untersuchten die russischen Virenspezialisten Schadprogramme, die auf Servern der staatlichen iranischen Erdölgesellschaft Ende April sichergestellt worden waren. Vorausgegangen war dem ein Cyberangriff auf das Ölterminal auf der Insel Khark. Der Angriff soll Angaben des iranischen Erdölministeriums zufolge allerdings rechtzeitig abgewehrt worden sein. Virenanalysten stellten bereits im April zwei unterschiedliche Arten von Schadsoftware auf den iranischen Servern fest, die sie als Spionage- und Sabotage-Tools bezeichneten. Teile der gefundenen Software waren gleichfalls für Industriesteuerungen geschrieben. Sie hätten bewirkt, dass der Pumpendruck fälschlicherweise erhöht worden wäre. Im ungünstigsten Fall hätte so eine Öl-Pipeline zerstört werden können. Ein Sprecher der Sabotageabwehr der iranischen Streitkräfte sprach damals von einem Cyberangriff, der gegen Iran gerichtet sei. Neben den bekannten Sabotagealgorithmen fand sich bei den ersten forensischen Analysen eine Vielzahl von Modulen, die auffällige Ähnlichkeiten mit kommerziellen Produkten für die Online-Durchsuchung und Rechnerüberwachung aufwiesen, wie sie auch deutsche Sicherheitsbehörden einsetzen. Die entsprechenden Dateien wurden von Wissenschaftlern des Labors für Verschlüsselung und Systemsicherheit an der Budapester Universität und von Schadsoftwareexperten des Antivirenherstellers Kaspersky mit Methoden des Reverse Engineering untersucht.

Aus Iran geliefert wurden den Analysten Dateien im sogenannten Maschinencode. Für die meisten Menschen sind solche Dateien, die nur aus Nullen und Einsen des Binärcodes eines übersetzten Objektcodes bestehen, nicht lesbar. Zudem sind im Maschinencode auch nicht alle Programmobjekte offen angezeigt. Deshalb müssen diese maschinensprachlichen Codes in eine verständliche Programmiersprache rückübersetzt werden. Dabei fanden die Fachleute heraus, dass Flame mit mehr als 20 Spionagemodulen genaue Systemanalysen von anzugreifenden Zielcomputern und -netzwerken liefern kann. Flame ist in einer ungewöhnlichen Programmiersprache namens Lua geschrieben, die in der Vergangenheit bei der Realisierung leistungsfähiger Netzwerkscanner und flexibler forensischer Software für die Beweissicherung bei Cyberverbrechen Verwendung fand.

Flame liefert einem Angreifer sämtliche Details über das Zielsystem, auf dass er mit hoher Präzision digitale Angriffswaffen konstruieren kann, die Kollateralschäden weitgehend vermeiden. Nach den Erfahrungen mit der unkontrollierten Ausbreitung von Stuxnet soll durch solche Spionage-Tools sichergestellt werden, dass nur die ausgesuchten Industriesteuerungen des Gegners manipuliert werden und nicht die eigenen.

ANZEIGE

Übertragen auf die Cyberwar-Szenarien zur Ausschaltung kritischer Infrastrukturen würde das bedeuten, dass mit digitalen Waffen wie Flame garantiert werden soll, dass nur in den gegnerischen Städten die Lichter ausgehen und nicht im eigenen Land der Strom ausfällt. Besonders beliebt sind in solchen taktischen Konzepten für den digitalen Krieg längerfristige Unterbrechungen der Stromversorgung, die dann nicht nur zu einem Blackout der Kernkraftwerke auf gegnerischem Gebiet führen, sondern auch die Notstromversorgung nachhaltig stören. Die Folge und der größte daraufhin anzunehmende Unfall wäre eine Kernschmelze. Amerikanische Cyberwar-Taktiker sprechen hier gern von einem „vireninduzierten Atomschlag“.

Vor diesem Hintergrund ist verständlich, dass die Mitglieder des Beirates für Abrüstungsfragen der Vereinten Nationen die Zuspitzung des Cyberkonfliktes in Iran mit Sorge beobachten. Digitale Waffenplattformen mit Flame und einer Angriffssoftware, die Maschinensteuerungen manipuliert oder die Stromversorgung eines Landes zusammenbrechen lässt, lassen deshalb den Ruf nach digitaler Rüstungskontrolle immer lauter werden. Sicherheitsexperten fordern neben einer Genfer Konvention für das Internet die Einrichtung einer internationalen Agentur zur Überwachung digitaler Waffen. Noch tun sich die Vereinten Nationen mit der völkerrechtlichen Einordnung von Phänomenen wie Cyberwar schwer. Dass aber Handlungsbedarf besteht, bezweifelt niemand mehr.

Quelle: F.A.Z.
  Zur Startseite
Verlagsangebot
Verlagsangebot
ANZEIGE