Drei Jahre nach der Entdeckung von Stuxnet arbeiten Experten immer noch an der Analyse und finden faszinierende neue Fähigkeiten der ersten bekannt gewordenen Cyber-Waffe. Abwehrspezialist Ralph Langner berichtet in einem PDF-Dokument (Zusammenfassung auf der Webseite “Foreign Policy”) von Stuxnets bislang kaum diskutierten Bruder: Laut Langner ist Stuxnet nicht eine Cyberwaffe, sondern zwei. Bekannt sei bisher die einfachere Angriffsroutine, welche die Geschwindigkeit der Zentrifugen im iranischen Natanz erhöhte. Die Zentrifugen dienen dem Anreichern von Uran und haben sich durch diese Manipulation selbst zerstört. Die zweite – Langner nennt sie die vergessene Routine – sei komplexer und schwieriger zu entdecken.
Langner behauptet, dass der Angriff mit dieser Stuxnet-Variante Jahre vor dem zweiten Angriff mit demjenigen Programmteil passierte, der die Zentrifugen manipulierte.
Während nach langem Ringen die fünf UN-Vetomächte und Deutschland am 24. November in den Verhandlungen um das iranische Atomprogramm einen Durchbruch erzielt haben, wird deutlicher, wie die digitale Sabotage des Programms ablief.
Was Langner beschreibt, ist eine neue Einschätzung der Attacke mit Stuxnet. Dessen erste, bislang unbekannte Variante sei 2007 von einer unbekannten Person auf VirusTotal hochgeladen worden – ohne, dass jemand hiervon Notiz nahm. Ohne die jüngere und später entdeckte Version wäre diese wohl nicht erkannt worden, schreibt Langner. Die erste Version von Stuxnet enthalte einen Teil, der das Schutzsystem der Uran-Anreicherungs-Zentrifugen stören und die Gerätschaften durch Überdruck nach und nach ausfallen lassen sollte.
Stuxnet erste Variante setzt die Kaskaden der Zentrifugen einer überhöhten Belastung aus, indem es das Sicherheitssystem sabotierte, das diese Zentrifugen schützt. Dieses System ist eine kritische Komponente, da es die eigentliche Schwachstelle der Anlage, die unzuverlässigen und technisch überholten Zentrifugen, vor Überlastung schützt.
Iran entwickelte das Schutzsystem, welches die Anreicherung von Urans ermöglichte, auch wenn die Zentrifugen schnell ausfielen und ersetzt werden mussten, so Langner.
Dabei sorgten drei Ventile in der Zentrifuge dafür, dass diese von den anderen isoliert werden konnte, wenn sie Probleme durch Vibrationen bekam. Die isolierte Zentrifuge konnten so gestoppt und durch eine neue ersetzt werden, während der Rest weiterlaufen kann.
Wenn aber mehrere Zentrifugen gleichzeitig im gleichen Stadium der Uran-Anreicherung ausfallen und gestoppt werden, steigt der Druck innerhalb der Anlage und führt zu verschiedenen Problemen. Die Iraner bauten Überdruck-Ventile in die Anlage ein, die den Druck verringern sollten, wenn zu viele der 164 Zentrifugen gleichzeitig ausfallen und der Luftdruck in der Anlage ansteigen sollte. Der Druck wird auf jeder Anreicherungsstufe von einem Sensor überwacht, der von einem Controller gesteuert wird.
Stuxnet erste Variante, die vor kurzem bereits von den Kollegen von Symantec unter die Lupe genommen wurde, greift diese Controller an, übernimmt die Kontrolle und gaukelt den Ingenieuren falsche, normal aussehende Werte vor, die der Schädling vorher aufgezeichnet hat. Dann schließt die Malware die Überdruck-Ventile von vier Anreicherungstationen, was den Druck an den Zentrifugen stark erhöht und auf Dauer diese zerstört. Wird dieser Prozess nicht unterbrochen, wird die gesamte Anlage komplett zerstört, so Langner.
Doch die Angreifer wollten offenbar verhindern, dass ihre Attacke allzu rasch auffliegt und daher einen katastrophalen Schaden an der Anlage vermeiden. Und bereits eine kleine Änderung in der Anlage hätte diese hochspezialisierte Stuxnet-Variante unwirksam gemacht und der Angriff hätte entdeckt werden können. Und so versuchten die Angreifer 2009 es mit eine anderen Version, berichtet Langner. Der Version, die dann von IT-Sicherheitsexperten entdeckt wurde.
Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.
Liebe Zuhörer,
Ausgabe 22 des TechNet Flash liegt zum Anhören bereit!
Link zum jeweiligen TechNet Newsflash in Schriftform:
http://www.microsoft.com/germany/technet/newsflash/22-2013.htm
Link zum RSS Feed:
http://www.microsoft.com/feeds/technet/de-de/newsflash/tn_flash_podcast_archiv.xml
Wir wüschen wie immer viel Freude beim Anhören!
Euer TechNet-Team
Ransomware sperrt den befallenen Computer oder verschlüsselt User-Daten. Um sie wieder zu entschlüsseln beziehungsweise den Computer zu entsperren, müssen Opfer ein „Lösegeld“ zahlen. Im Fall von Nymaim (auch bekannt als “Win32/Nymaim”) wird die Malware durch den Virus “DarkLeech” verbreitet. “DarkLeech” kompromittiert Webserver und infiziert die PCs arglos vorbeisurfender Anwender mittels des seit langem bekannten Exploit-Kits Black Hole.
Win32/Nymaim wurde im Zuge der Malware-Kampagne zu DarkLeech/Black Hole Exploit-Kit veröffentlicht, die auch als “Home Campaign” bekannt ist. Seit Beginn der Kampagne im Februar 2011 konnten dem unabhängigen Security-Analysten und Blogger Kafeine zufolge 2,8 Millionen Infektionen festgestellt werden – und der Trojaner-Downloader mit Ransomware-Features ist immer noch aktiv. Inzwischen wurden ein neuer Infektionsvektor gefunden, der auf Black-Hat-SEO basiert. Also einer bösartigen Manipulation von Suchmaschinenergebnissen. In ihrem Blog schreiben die Sicherheitsforscher von Eset, dass sie neben den per Black Hole ausgeführten Drive-by-Downloads verseuchte Webseiten fanden, die immer, wenn nach beliebten Keywords gesucht wird, durch Black Hat-SEO oben in Suchergebnissen landeten.
Malware-Analysten haben festgestellt, dass die Lockscreens der Erpresser-Malware jeweils speziell für Länder in Europa und Nordamerika designt und sprachlich angepasst wurden. So gibt es bereits Lockscreen-Designs für Deutschland, Österreich, die Niederlande, England, Frankreich, Irland, Kanada, Mexiko, Norwegen, Rumänien, Spanien und die USA.
In den meisten untersuchten Ländern wurde ein „Lösegeld“ von 150 US-Dollar (circa 110 Euro) gefordert. Es gibt jedoch auch länderbedingte Unterschiede: Während von Nutzern in den USA mit 300 US-Dollar die höchste Summe gefordert wurde, wurden in Rumänien nur 100 Euro verlangt.