Stuxnet war ein Meilenstein, der die Wahrnehmung kriegerischer und krimineller Aktivitäten im Cyberspace verändert hat. Das Schadprogramm war der erste öffentlich dokumentierte gezielte Root-Kit-Angriff auf industrielle Anlagen: Es zielte auf Produkte der Siemens-Simatic-Familie und Step-7-SPS-Projekte ab. Es entfaltete seine Schadwirkung in vier Stufen auf verschiedenen Ebenen.
Anstelle eines direkten Angriffsversuchs auf Steuerungen hatten die Urheber von Stuxnet die allgegenwärtigen PCs mit Windows-Betriebssystemen als schwächstes Glied in der Kette ausgemacht und prädestiniert als erstes Einfallstor. Die Malware nutzte einen aggressiven Mix von Mechanismen und gleich vier zuvor unbekannte, in mehreren Generationen von Windows vorhandene Schwachstellen. So verbreitete sich der Wurm über Netzwerke und USB-Medien sowohl auf vernetzte als auch nicht vernetzte PCs und infizierte diese. Dabei eingeschleppte Treiber waren mit geraubten privaten digitalen Schlüsseln signiert und erregten auf den Systemen durch diese als vertrauenswürdig eingestuften Zertifikate keinen Verdacht.
Im zweiten Schritt suchte Stuxnet auf infizierten PCs nach geeigneten Installationen von Engineering- oder Visualisierungs-Software und manipulierte die darin vorgefundenen Datenbanken und Projekte, um seine weitere Verbreitung und Persistenz auf dem PC zu sichern sowie Steuerungen als potenzielle Ziele für Stufe3 auszuspähen. Ferner manipulierte er eine zentrale Software-Bibliothek, um seine Machenschaften vor deren Anwendern trickreich zu verbergen. Erst nach diesen Vorbereitungen und gezielt nur in Projekte mit ganz bestimmten Eigenschaften schleuste Stuxnet dann in Stufe3 seinen eigentlichen und ausgesprochen raffinierten Schadcode in die Steuerungen ein - mit dem Ziel der Störung von Prozessen und letztlich der Zerstörung der betroffenen Anlagen.
Über seine vierte und letzte Wirkstufe versuchte Stuxnet schließlich von infizierten PCs aus, Kontakt zu mehreren Servern im Internet aufzunehmen, um ausgespähte Informationen abzuliefern, Updates zu empfangen und neue Instruktionen auszuführen. Dies verlieh dem Spionage- und Sabotagepotenzial des Wurms eine zusätzliche Dynamik. Durch seine Verbreitungsmechanismen konnten diese Effekte mittelbar auch auf Systeme ausstrahlen, die selbst über keine Netzwerk- oder gar Internetverbindung verfügen.
Experten warten auf Nachahmer
Viele zwischenzeitlich bekannte Indizien sprechen für die Vermutung, dass Stuxnet das iranische Nuklearprogramm treffen sollte und insbesondere eine dortige Anlage zur Urananreicherung auch erfolgreich getroffen hat. Ob die bis heute unbekannten Autoren des Wurms gezielt nur diesen oder (auch) andere Zwecke verfolgt haben, ist allerdings nicht erwiesen. Besorgnis erregte indes vor allem dies: Das Angriffsmuster und seine Basistechniken sind absolut generisch und in der Lage, letztlich beliebigen Schadcode in eine Vielzahl von gängigen Steuerungsmodellen - prinzipiell auch anderer Hersteller - einzubringen. Praktisch alle Industrial-Security-Experten hielten und halten daher eine Proliferation Stuxnet-artiger Cyberwaffen und Attacken durch Nachahmer mit Mutationen der Malware auf vielfältige andere Ziele für sehr wahrscheinlich.
Die einzig gute Nachricht: Diese Welle erwarteter Angriffe ist bislang ausgeblieben. In bisher nur einem weiteren Fall wurde im September 2011 neue Schadsoftware entdeckt, die mit den Mechanismen und dem Programmcode von Stuxnet verwandt zu sein scheint: der Trojaner Duqu, so benannt nach dem Namens-Präfix ~DQ der von ihm generierten Dateien.
Duqu und das Tilded Framework
Analysen an der Universität Budapest (CrySyS Laboratory of Cryptography and System Security) sowie in den Laboren von Symantec und F-Secure ergaben eine große Ähnlichkeit im Code von Stuxnet und Duqu. Allerdings enthält Duqu keinerlei Schadcode mit direktem Bezug zu industriellen Steuerungssystemen. Er scheint einem ganz anderen Zweck, nämlich der Spionage zu dienen, dies aber möglicherweise zur Vorbereitung eines weiteren Stuxnet-artigen Angriffs. Anders als Stuxnet verbreitet sich Duqu auch nicht aktiv selbst, sondern wurde offenbar sehr gezielt, insbesondere durch E-Mail-Anhänge mit infizierten Office-Dokumenten in eine beschränkte Anzahl von Organisationen eingeschleust. Wiederum wurde dabei eine noch unveröffentlichte Schwachstelle im Kernel von Windows als Einfallstor genutzt und ein mit gestohlenem Schlüssel signierter Treiber verwendet. Der Trojaner suchte Kontakt zu Servern in mehreren Ländern. Er konnte über diese wohl auch instruiert werden, sich über lokale Netzlaufwerke auf weitere Systeme zu verbreiten, die dann im Peer-to-Peer-Verfahren den ursprünglichen Infektionsherd wie einen Proxy als Rückkanal nutzen.
Infektionen mit Duqu wurden in mindestens acht Ländern, unter anderem bei Herstellern und Betreibern von industriellen Steuerungssystemen entdeckt. Die dabei gefundenen Varianten wurden auf eine Entstehungszeit zwischen November 2010 und Oktober 2011 datiert. Symantec kam zu dem Schluss, dass die Autoren von Duqu dieselben waren wie jene von Stuxnet, oder jedenfalls Zugang zum selben Quellcode gehabt haben müssen.
Aktuellste Analysen des Kaspersky Lab sprechen für einen noch umfassenderen Zusammenhang zwischen den beiden Schädlingen. Danach entspringen beide mit ziemlicher Sicherheit der gleichen als Baukasten genutzten Code-Basis. Kaspersky taufte dieses Framework auf den Namen Tilded. Es soll neben Stuxnet und Duqu Grundlage von mindestens drei weiteren identifizierten Schadprogrammen sein. Seine Entwicklungsgeschichte reicht vermutlich bis Ende 2007 zurück und hält mit einer Phase besonders signifikanten Fortschritts im zweiten Halbjahr 2010 bis heute an, was weitere Abkömmlinge erwarten lässt.
Malware aus dem Baukasten
Exploits, wie die von Stuxnet und Duqu verwendeten, sind Programme oder modulare Programmteile, die eine Sicherheitslücke ausnutzen und so einen Angriff ermöglichen. Schon früh wurde von Stuxnet-Experten auf die absehbare Gefahr hingewiesen, dass solche Exploits in für jedermann zugänglichen Malware-Baukästen bereitgestellt werden würden, sodass auch Personen ohne umfangreiches Insider-Wissen diese für Angriffe nutzen können.
Tatsächlich gibt es für mindestens drei der von Stuxnet genutzten Windows-Schwachstellen bereits Exploit-Module im offenen Metasploit Framework, das zwar als Baukasten für legitime Penetrationstests gedacht ist, aber natürlich auch zu weniger wohlwollenden Zwecken missbraucht werden kann. Auch das kommerzielle Penetration Testing Framework Canvas von Immunity enthält solche Exploit-Module. Darüber hinaus wird sogar das spezielle Paket Scada+ mit Exploits für öffentlich bekannte Schwachstellen von Scada-Produkten dazu angeboten. Ein trauriger Höhepunkt der bisherigen Entwicklung sind kürzlich auf Twitter erschienene Angebote zum Kauf von Scada-Exploits.
Die aktuelle Situation erinnert damit an den bösen Witz vom Mann, der vom Hochhaus springt und nach den ersten zwanzig Stockwerken feststellt, bislang sei ja noch alles gut gegangen. Jeder weiß, wie schlecht die Extrapolation dieser Erfahrung funktioniert - und noch ist Zeit, ein Sprungtuch aufzuspannen.
Gefragt sind Vorbeugungsmaßnahmen
Stuxnet hat deutlich gemacht, dass konventionelle Antivirus-Software auf Basis von Blacklists gegen noch unbekannte Exploits keinen ausreichenden Schutz bietet. Dennoch gibt es durchaus heute verfügbare und in bestehende Anlagen nachrüstbare Lösungen, um Schäden durch Stuxnet-artige Angriffe vorzubeugen. Die Schlüsselworte lauten Risikoreduktion, Eindämmung und Integritätssicherung.
Zwar lassen sich Infektionen mit Schad-Software nicht absolut zuverlässig ausschließen. Die konsequente Blockierung nicht benötigter Kommunikationsverbindungen im Netzwerk durch dezentral verteilte Firewalls leistet aber einen großen Beitrag, das Infektionsrisiko signifikant zu reduzieren, gegebenenfalls ihre weitere Ausbreitung einzudämmen - und der Malware so keinen Rückkanal für Spionageaktivitäten zu bieten. Verfahren wie das mGuard Integrity Monitoring von Innominate ermöglichen es darüber hinaus, selbst Infektionen durch noch unbekannte Schad-Software zeitnah als unerwartete Manipulation zu erkennen. Solche Whitelisting-Methoden sollten insbesondere zum Schutz von PCs eingesetzt werden, die als Engineering-, Bedien- oder Visualisierungssysteme mit Steuerungen kommunizieren dürfen. Werden dann noch Komponenten wie die mGuard User Firewall zum Schutz der Steuerungen eingesetzt, lässt sich ein authentisiertes und autorisiertes Engineering realisieren, das Stuxnet &Co. den Weg zur unbefugten Manipulation der Projektierung abschneidet.