Myrtus und Guava: die Epidemie, die Trends, die Zahlen

In den vergangenen Tagen wurde in den Massenmedien ausgiebig über Stuxnet berichtet. Und verschiedene Quellen lieferten auch verschieden Berichte. „Iran“, „Atomkraftwerk Buscher“ und „Cyberwaffe“ sind längst zu Begriffen geworden, die untrennbar mit Stuxnet verbunden sind. Eines der Hauptargumente für die „iranische“ Theorie ist, dass der Iran sich im Epizentrum der Epidemie befindet, da dort die höchste Zahl an infizierten Computern identifiziert wurde.

Jede Einschätzung der Anzahl infizierter Rechner jedoch kann ausschließlich auf Grundlage der Daten erfolgen, welche die AV-Unternehmen von den Computern ihrer Kunden erhalten. Und diese Daten können nur aus solchen Ländern geliefert werden, in denen ein Unternehmen auch wirklich Kunden hat. Sind dort nun keine Kunden vorhanden oder findet das fragliche Antiviren-Produkt keine breite Anwendung, muss bei sämtlichen Berechnungen von einer erheblichen Fehlerquote ausgegangen werden.

Um ein adäquates Bild von den Geschehnissen zu erhalten, ist eine Analyse der Daten mehrerer Unternehmen absolut unumgänglich. Von großer Bedeutung ist zudem der Marktanteil, den das betreffende Unternehmen in dem jeweiligen Land hat.

In einem Punkt stimmen beinahe alle Quellen überein: Im Hinblick auf die Anzahl an Infektionen belegen Iran, Indien und Indonesien die ersten Plätze. Manchmal wird Iran an die Spitze gesetzt, dann wieder Indien. Leider wird dabei vergessen, dass die Stuxnet-Epidemie (wie jede andere Epidemie) nicht statisch ist: Der Wurm verbreitet sich immer weiter, und während einige Systeme infiziert bleiben, ist eine ganze Reihe von ihnen wieder gesäubert worden.

Wir überwachen die Epidemie schon lange. Eine Analyse der Daten aus den letzten drei Monaten eröffnet uns die Möglichkeit, festzustellen, welche Veränderungen stattgefunden haben und vielleicht nachzuvollziehen, von welchem Land der Wurm ursprünglich ausgegangen ist.

Unsere Datensätze werden uns von dem Kaspersky Security Network, unserem In-the-Cloud-Dienst, zur Verfügung gestellt. Zwar liefern die Daten einige interessante Fakten und Anhaltspunkte, aber es sollte daran erinnert werden, dass es sich um Daten von unserer persönlichen Produktserie handelt und keinesfalls um Daten, die von unseren anderen Produkten erhoben wurden.

Nachstehend aufgelistet sind die zwanzig Länder mit der höchsten Zahl an Infektionen seit Anfang Juli (der Zeitpunkt, als die Erkennungsmethodik für Stuxnet unseren Datenbanken hinzugefügt wurde) bis heute. Indien, Iran und Indonesien belegen die ersten drei Ränge. Iran befindet sich allerdings weder an erster noch an zweiter Stelle.

Wie bereits erwähnt, decken diese Zahlen den gesamten Dreimonatszeitraum ab. In der Realität jedoch entwickelt sich die Epidemie in den einzelnen Ländern unterschiedlich weiter, und zu Beginn ihres Ausbruchs war die Kluft zwischen den drei Ländern an der Spitze nicht annähernd so stark ausgeprägt.

Wir haben den gesamten Zeitraum in Abschnitte von 5 Tagen unterteilt. Nachstehend die fünf Länder mit den meisten Infektionen während der ersten fünf Tagen nach Identifizierung des Wurms:

  • Indien – 8565
  • Indonesien – 5148
  • Iran – 3062
  • Afghanistan – 533
  • Aserbeidschan – 454

Hier nun die fünf Länder mit der höchsten Infektionszahl während der letzten fünf Tage (20.-25. September):

  • Indien – 8179
  • Indonesien – 3052
  • Kasachstan – 1340
  • Russland – 1138
  • Iran – 765

Die Zahl der infizierten Systeme in Indien hat sich verringert. Im Gegensatz dazu hat Stuxnet begonnen, Kasachstan und Russland ernstlich zu attackieren.
Die folgende Graphik illustriert, wie sich die Epidemie in den einzelnen Ländern entwickelt hat:

Es wird ersichtlich, dass es Iran gelungen ist, seine Infektionsrate durch die Säuberung zahlreicher infizierter Systeme signifikant zu senken. Hält dieser Trend weiter an, wird Iran bald nicht mehr als eines der Zentren der Epidemie gelten. In Indien wiederum ist die Zahl der Infektionen mehr oder weniger auf demselben Niveau geblieben, wobei es allerdings positiv zu bewerten ist, dass die Epidemie nicht an Aufschwung gewonnen hat. Indonesien scheint ähnlich wie Iran Stuxnet erfolgreich daran gehindert zu haben, sich weiter auszubreiten.

Dasselbe gilt leider nicht für Russland oder Kasachstan. Diese beiden Länder scheinen derzeit am anfälligsten zu sein, und die Epidemie geht dort gerade erst dem Höhepunkt entgegen. Da Stuxnet in diesen Ländern neu aufgetaucht ist, kann der Wurm unmöglicherweise von einem dieser beiden Gebiete gestartet sein.

Nachstehend noch einmal dieselbe Kurve wie oben für einige andere Länder:

Es wird deutlich, dass sich die Epidemie in drei Ländern, nämlich Bangladesh, Irak und Syrien, aktuell immer weiter ausbreitet. Die ersten Infektionen in Bangladesh wurden erst im August, nachdem Stuxnet zum ersten Mal entdeckt worden war, festgestellt, und es ist sehr wahrscheinlich, dass der Wurm von Indien auf Bangladesh übergeschwappt ist. Die Epidemien in Irak und Syrien lassen drauf schließen, dass der Wurm vermutlich aus Iran in diese Länder kam.

Die folgenden Prozentzahlen zeigen, wie sich die Zahl der mit Stuxnet assoziierten Vorfälle im September im Vergleich zum Monat Juli verändert hat:

  • Indien: -5%
  • Indonesien: -41%
  • Iran: -75%
  • Russland: +308%
  • Kasachstan: +1711%
  • Afghanistan:-55%
  • Uzbekistan:-37%
  • Syrien: +47%
  • Bangladesh: +370% (im Vergleich zu August)
  • Pakistan: +2%
  • Aserbaidschan:-73%
  • Irak: +35%

Leider muss hinzugefügt werden, dass Stuxnet erst entdeckt worden war, nachdem die Angriffe in Iran und Indien einen Höhepunkt erreicht hatten. Gegenwärtig ist es extrem schwierig, den exakten Zeitpunkt zu bestimmen, an dem der Wurm zum ersten Mal in Erscheinung trat.

Offenbar entdeckten die AV-Unternehmen den Wurm in diesen Ländern erst, als dieser bereits einen Abwärtstrend verzeichnete. Ein Blick auf die Statistiken lässt darauf schließen, der Wurm ungefähr 3-4 Monate vor Juli 2010 begann, sich auszubreiten; laut unseren Datensätzen würde Stuxnet genau diese Zeit benötigt haben, um eine derartig große Anzahl von Computern zu infizieren.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.