Myrte und Guave: Episode 5

Bisher haben wir uns in unserer kleinen Serie über Stuxnet in erster Linie auf die für die User gefährlichsten Aspekte konzentriert, wie auf die 0-Day-Schwachstelle bei der Bearbeitung von LNK-Dateien und die digitalen Signaturen in den Händen von Cyberkriminellen. Auf die Hauptfunktionalität des Wurms sind wir allerdings noch gar nicht eingegangen.

Wer sich für die Geschichte interessiert, wird sicherlich schon mitbekommen haben, dass der Wurm (neben seiner Selbstvervielfältigung) versucht, auf Steuerungssysteme der Industrieproduktion zuzugreifen, die auf der Software WinCC der Firma Siemens laufen.

Ich weiß nicht mehr, welcher Journalist (oder AV-Experte) im Zusammenhang mit Stuxnet zuerst Kraftwerke erwähnte (von denen tatsächlich einige auf WinCC laufen). Doch seither weht über der Geschichte ein Hauch von Hollywood, denn das Ganze ist durch immer wieder auftauchende Begriffe wie „internationale Industriespionage“ und „Angriffe auf die Wirtschaft“ schon fast Film reif geworden.

(Screenshot eines Beispiels für die Arbeit von WinCC, Quelle: Offizielle Dokumentation der Firma Siemens)

Tatsächlich versucht Stuxnet sich mit dem Visualisierungssystem WinCC SCADA zu verbinden, indem es das Standard-Passwort von Siemens verwendet.
Der Wurm verfügt über eine überaus interessante Komponente, und zwar eine dll-Datei, die einen eigentümlichen Wrapper um die tatsächlichen Original DLL von Siemens darstellt.

Dieser Wrapper versucht die Verbindung zu WinCC herzustellen, indem er einen Großteil der Funktionen in die Original-dll umleitet. Die restlichen Funktionen emuliert er selbstständig!

Dabei geht es um die folgenden Funktionen:

s7db_open
s7blk_write
s7blk_findfirst
s7blk_findnext
s7blk_read
s7_event
s7ag_test
s7ag_read_szl
s7blk_delete
s7ag_link_in
s7db_close
s7ag_bub_cycl_read_create
s7ag_bub_read_var
s7ag_bub_write_var
s7ag_bub_read_var_seg
s7ag_bub_write_var_seg

Darüber hinaus sind in dem Modul einige verschlüsselte Datenblöcke enthalten. Ein Beispiel für so einen Block ist auf dem folgenden Screenshot abgebildet:

Siemens führt gegenwärtig eigene Untersuchungen und Analysen des Schadprogramms durch. Das Unternehmen hat zudem einen speziellen Informationsbericht zu dem Vorfall veröffentlicht, in dem die Infizierung eines WinCC-Kunden in Deutschland bestätigt wird.

Zitat aus dem Original:

„Derzeit ist weiterhin nur der eine, bereits genannte Fall bekannt, bei dem ein WinCC-Rechner eines Kunden befallen war. Der Virus betraf eine reine Engineering-Umgebung eines Systemintegrators. Der Virus konnte schnell beseitigt werden. Eine Produktionsanlage war bisher nicht betroffen.“
„Bekannt ist bislang nur ein Fall einer Infektion in Deutschland. Ob es zu einem Schaden gekommen ist, klären wir derzeit.“

Siemens bestätigt, dass der Wurm in der Lage ist, Daten über den Herstellungsprozess und die Produktion weiterzuleiten und zudem versucht, eine Internet-Verbindung mit den Servern der Cyberkriminellen herzustellen, doch die entsprechenden Server sind derzeit nicht verfügbar.

Siemens también confirmó que el gusano puede transmitir datos de procesos y producción, y que intenta establecer una conexión con los servidores del cibercriminal, pero por ahora los servidores están inactivos.

P.S.: Die Meldung auf dem Service-Portal von Siemens wurden mittlerweile aktualisiert:

„Derzeit sind uns weltweit insgesamt vier Kundenfälle bekannt. Eine Produktionsanlage war bisher nicht betroffen.“

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.