Analyse von Symantec: Stuxnet greift nur bestimmte Industrieanlagen an
Schritt für Schritt entblättern die Antivirenhersteller den Wurm Stuxnet, der iranische Atomanlagen befallen hat . Vor besondere Probleme stellt sie dabei nicht nur die Tatsache, dass der Wurm viele vorher unbekannte Sicherheitslücken in Windows nutzt , sondern auch sein eigentliches Zielsystem.
Der Schädling befällt speicherprogrammierbare Steuerungen(öffnet im neuen Fenster) , im Englischen PLCs genannt. Diese Computer werden zur Steuerung von Maschinen in Industrieanlagen eingesetzt und unterliegen zum Teil Exportbeschränkungen – die Umgebung, in welcher der Kern von Stuxnet läuft, lässt sich also nicht ohne Weiteres nachstellen.
Symantec hatte daher um Anregungen von Programmierern gebeten, die unter anderem mit den Protokollen des Profibus(öffnet im neuen Fenster) vertraut sind, der die Bestandteile von PLCs oft verbindet. Nach Hinweisen eines niederländischen Profibus-Experten soll es nun gelungen sein, auch die letzten Schritte eines Angriffs durch Stuxnet(öffnet im neuen Fenster) auf eine PLC zu verstehen.
Damit die Schadroutine überhaupt tätig wird, muss sie eine ganz bestimmte Konfiguration vorfinden. Dazu zählt die PLC S7-300(öffnet im neuen Fenster) aus der Serie Simatic von Siemens, an die bis zu sechs Profibus-Controller des Typs CP-342-5 angeschlossen sein müssen. Jedes dieser Module kann 31 Frequenzumrichter steuern, und diese wiederum die Drehzahl von Elektromotoren.
Sabotage an Zentrifugen durch Drehzahländerung
Das bloße Vorhandensein dieser Geräte reicht aber noch nicht: Die Frequenzumrichter müssen von einem finnischen oder iranischen Hersteller stammen und mit einer Frequenz von 807 bis 1.207 Hertz arbeiten. Über Monate hinweg soll Stuxnet laut Symantec diese Frequenzen kurzfristig auf 1.401 Hertz, dann auf 2 Hertz und schließlich auf 1.064 Hertz setzen. Ein so gesteuerter Elektromotor würde also erst über der erwünschten Drehzahl arbeiten, dann fast zum Stillstand kommen, und schließlich wieder einen Mittelwert einnehmen – ein erhöhter Verschleiß ist die Folge, Symantec bezeichnet das als "Sabotage" .
Eine ähnliche Vermutung hatte bereits Ende September 2010 das CCC-Mitglied Frank Rieger in der FAZ(öffnet im neuen Fenster) geäußert: Stuxnet soll gezielt iranische Anlagen zur Urananreicherung befallen haben. Für dieses Verfahren werden tausende von Zentrifugen mit hohen Drehzahlen benötigt. Ausführlich stellt Rieger das auch in einem Podcast(öffnet im neuen Fenster) dar. Dass Stuxnet "bestimmte Aggregate zerstören" soll, hatte auch der PLC-Experte Ralph Langner im Interview mit Golem.de angegeben.
Einen so konkreten Verdacht äußert Symantec bisher noch nicht, weist aber darauf hin, dass präzise Frequenzumsetzer, die mit über 600 Hertz arbeiten, in den USA Exportbeschränkungen unterliegen, weil sie zur Urananreicherung verwendet werden können. Für andere Anwendungen, wie etwa ein Förderband, seien die Frequenzen zu hoch, meint Symantec. Das Unternehmen ruft aber gleichzeitig Anwender von PLCs auf, von anderen Einsatzbereichen für Frequenzumsetzer mit den genannten Arbeitsbereichen zu berichten.
Symantec hat seine Analyse von Stuxnet ( PDF(öffnet im neuen Fenster) ) um die jüngsten Erkenntnisse ergänzt. Damit, so der Antivirenhersteller, sei der Code des Wurms vollständig analysiert. Erste Warnungen vor Stuxnet gab es bereits im Juli 2010, mit vereinten Kräften brauchten die Security-Experten in aller Welt also über fünf Monate, um den Wurm zu verstehen.