Der Tag als Stuxnet starb

Tief im Innern einer der Konfigurationsblöcke von Stuxnet steht in einer bestimmten Variablen von 8 Bytes eine Zahl, die – als Datum gelesen – auf den 24. Juni 2012 hinweist. Das ist das Datum, an dem die die LNK-Replikations-Subroutinen von Stuxnet ihre Arbeit einstellen und der Wurm aufhört, USB-Speichersticks zu infizieren.

207319839

Die spezifische Variable, die den “Todeszeitpunkt” bestimmt, ist auf dem oben abgebildeten Screenshot zu sehen – “00 c0 45 4c 9c 51 cd 01” bedeutet ins Standard Windows 64 Bits Zeitstempel-Format übersetzt 24. Juni 2012.

207319840

Aktuell sind drei Varianten von Stuxnet bekannt, die alle in verschiedenen Wellen an unterschiedlichen Daten verbreitet wurden. Die erste bekannte Variante wurde am 23. Juni 2009 um 4:40 Uhr GMT in Umlauf gebracht. Die zweite Infektionswelle wurde am 28. Juni, die dritte am 7. Juli ausgelöst.

Am 24. Juni 2012 waren also fast auf den Tag genau drei Jahre vergangen, seitdem sich der Wurm erstmals vorsichtig durch ausgewählte iranische Organisationen schlängelte.

Interessanterweise ist der 24. Juni auf mindestens eine weitere Weise mit der Geschichte von Stuxnet / Duqu verbunden.

Aktuell sind drei Duqu-Treiber-Generationen bekannt. Sie datieren auf den 3. November 2011, den 17. Oktober 2011 und der letzte auf den 23. Februar 2012. Der Duqu-Treiber vom 3. November 2011 ist für diese Geschichte von Interesse. Beim Offset 5190h (unten zu sehen) ist ein verschlüsselter Konfigurationsblock.

207319841

Der Konfigurationsblock ist mit einer simplen Stromchiffre verschlüsselt. Der Dechiffrierungscode sieht folgendermaßen aus:

207319842

Einmal entschlüsselt, kann die Duqu config gelesen werden:

207319843

Man achte auf den Wert 0xAE240682 (rotes Rechteck), zusammen mit dem Registrierungsschlüssel, der den Pfad zum Hauptkörper von Duqu sowie den Gerätetreibernamen für die prozessinterne Kommunikation enthält.

Der Wert 0xAE240682 kann in vier Teile aufgegliedert werden. 0xAE ist eine magische Konstante, die im Körper von Duqu und Stuxnet durchgehend verwendet wird. Ihre Bedeutung ist noch immer unbekannt, aber sie scheint bei den Entwicklern sehr beliebt zu sein. Der Rest kann als 24.06.82 gelesen werden. Und das sind wiederum genau 30 Jahre vor dem “Todestag” von Stuxnet.

Der 24. Juni 1982 ist auch für sich gesehen ein interessantes Datum. Und zwar ereignete sich an diesem Tag die Geschichte des British Airways Fluges Nr. 9, auch bekannt als der Speedbird 9- oder als Jakarta-Vorfall. Am 24. Juni 1982 flog die City of Edinburgh, eine Boeing 747-236B, in eine Vulkanaschewolke, die sich durch die Erruption des Vulkans Mount Galunggung gebildet hatte.

Um 13:42 Uhr UTC brannte das Triebwerk Nummer 4 aus. Bald darauf fiel auch Triebwerk Nr. 2 aus, es folgten die Triebwerke eins und drei, so dass das Flugzeug sich nun im Gleitflug befand. Auf einer Höhe von 37.000 Fuß errechnete die Crew, dass sie noch etwa 23 Minuten im Gleitflug verbleiben könnten, was allerdings nicht ausreichen würde, um sicher zu einem Flughafen zurückzukehren und dort landen zu können. Angesichts dieser Situation machte Kapitän Eric Moody eine kurze Durchsage, die in die Geschichte der Luftfahrt einging:

„Meine Damen und Herren, hier spricht Ihr Kapitän. Wir haben ein kleines Problem. Alle vier Triebwerke sind ausgefallen. Wir geben unser Äußerstes, um sie wieder zu starten. Ich vertraue darauf, dass Sie nicht allzu beunruhigt sind.“

Die ganze Geschichte der BA009 finden Sie hier.
Natürlich kann niemand, der nicht direkt an diesem Projekt beteiligt ist, mit Sicherheit sagen, warum Stuxnet genau 30 Jahre nach diesem Vorfall aufgehört hat, sich fortzupflanzen, oder warum dieses Datum in der Entschlüsselungs-Subroutine von Duqu einprogrammiert ist. Zusätzlich zum 24. Juni stellte das Stuxnet-Exploit MS10-061 am 1. Juni 2011 seine Arbeit ein. Zudem überprüft das MS08-067-Exploit Daten vor Januar 2030.

Trotzdem weisen all diese Überprüfungen vermutlich darauf hin, dass die Angreifer geplant haben, es bis zum 1. Juni 2011 lange aktualisiert und bis zum 24. Juni 2012 ausgemustert oder ersetzt zu haben.

Mit der Entdeckung und Offenlegung von Flame im Mai 2012 erwarten wir nun, dass weitere Cyberwaffen in Planung oder bereits entwickelt sind.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.