Drei Jahre nach der Entdeckung von Stuxnet arbeiten Experten immer noch an der Analyse und finden faszinierende neue Fähigkeiten der ersten bekannt gewordenen Cyber-Waffe. Abwehrspezialist Ralph Langner berichtet in einem PDF-Dokument (Zusammenfassung auf der Webseite “Foreign Policy”) von Stuxnets bislang kaum diskutierten Bruder: Laut Langner ist Stuxnet nicht eine Cyberwaffe, sondern zwei. Bekannt sei bisher die einfachere Angriffsroutine, welche die Geschwindigkeit der Zentrifugen im iranischen Natanz erhöhte. Die Zentrifugen dienen dem Anreichern von Uran und haben sich durch diese Manipulation selbst zerstört. Die zweite – Langner nennt sie die vergessene Routine – sei komplexer und schwieriger zu entdecken.

Langner behauptet, dass der Angriff mit dieser Stuxnet-Variante Jahre vor dem zweiten Angriff mit demjenigen Programmteil passierte, der die Zentrifugen manipulierte.

Während nach langem Ringen die fünf UN-Vetomächte und Deutschland am 24. November in den Verhandlungen um das iranische Atomprogramm einen Durchbruch erzielt haben, wird deutlicher, wie die digitale Sabotage des Programms ablief.

Was Langner beschreibt, ist eine neue Einschätzung der Attacke mit Stuxnet. Dessen erste, bislang unbekannte Variante sei 2007 von einer unbekannten Person auf VirusTotal hochgeladen worden – ohne, dass jemand hiervon Notiz nahm. Ohne die jüngere und später entdeckte Version wäre diese wohl nicht erkannt worden, schreibt Langner. Die erste Version von Stuxnet enthalte einen Teil, der das Schutzsystem der Uran-Anreicherungs-Zentrifugen stören und die Gerätschaften durch Überdruck nach und nach ausfallen lassen sollte.

Stuxnet erste Variante setzt die Kaskaden der Zentrifugen einer überhöhten Belastung aus, indem es das Sicherheitssystem sabotierte, das diese Zentrifugen schützt. Dieses System ist eine kritische Komponente, da es die eigentliche Schwachstelle der Anlage, die unzuverlässigen und technisch überholten Zentrifugen, vor Überlastung schützt.

Iran entwickelte das Schutzsystem, welches die Anreicherung von Urans ermöglichte, auch wenn die Zentrifugen schnell ausfielen und ersetzt werden mussten, so Langner.

Dabei sorgten drei Ventile in der Zentrifuge dafür, dass diese von den anderen isoliert werden konnte, wenn sie Probleme durch Vibrationen bekam. Die isolierte Zentrifuge konnten so gestoppt und durch eine neue ersetzt werden, während der Rest weiterlaufen kann.

Wenn aber mehrere Zentrifugen gleichzeitig im gleichen Stadium der Uran-Anreicherung ausfallen und gestoppt werden, steigt der Druck innerhalb der Anlage und führt zu verschiedenen Problemen. Die Iraner bauten Überdruck-Ventile in die Anlage ein, die den Druck verringern sollten, wenn zu viele der 164 Zentrifugen gleichzeitig ausfallen und der Luftdruck in der Anlage ansteigen sollte. Der Druck wird auf jeder Anreicherungsstufe von einem Sensor überwacht, der von einem Controller gesteuert wird.

Stuxnet erste Variante, die vor kurzem bereits von den Kollegen von Symantec unter die Lupe genommen wurde, greift diese Controller an, übernimmt die Kontrolle und gaukelt den Ingenieuren falsche, normal aussehende Werte vor, die der Schädling vorher aufgezeichnet hat. Dann schließt die Malware die Überdruck-Ventile von vier Anreicherungstationen, was den Druck an den Zentrifugen stark erhöht und auf Dauer diese zerstört. Wird dieser Prozess nicht unterbrochen, wird die gesamte Anlage komplett zerstört, so Langner. 

Doch die Angreifer wollten offenbar verhindern, dass ihre Attacke allzu rasch auffliegt und daher einen katastrophalen Schaden an der Anlage vermeiden. Und bereits eine kleine Änderung in der Anlage hätte diese hochspezialisierte Stuxnet-Variante unwirksam gemacht und der Angriff  hätte  entdeckt werden können. Und so versuchten die Angreifer 2009 es mit eine anderen Version, berichtet Langner. Der Version, die dann von IT-Sicherheitsexperten entdeckt wurde.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.