Suche nach ersten Stuxnet-Opfern führt nach Natanz

Die ersten fünf Stuxnet-Opfer wurden sorgfältig von den Angreifern ausgewählt und lieferten ihnen letztlich einen Wegweiser, der es ihnen ermöglichte, in einen Betrieb zur Urananreicherung in der Stadt Natanz einzudringen, um das Atomprogramm des Iran zu untergraben.

Aufgrund von Indizien, die die erstmals Mitte des Jahres 2010 entdeckte Malware hinterlassen hat, konnten die Experten des Global Research and Analysis Teams (GReAT) von Kaspersky Lab fünf iranische Unternehmen identifizieren, die sie für die ersten Infektionsopfer halten. „Im Laufe von zwei Jahren haben wir Stuxnet-Dateien gesammelt“, schreiben die Spezialisten von Kaspersky Lab in ihrem Bericht. Nachdem wir mehr als 2000 solcher Dateien untersucht hatten, konnten wir 5 Organisationen identifizieren, die die ersten Infektionsopfer verschiedener Varianten des Wurms in den Jahren 2009 und 2010 gewesen sind.

„Die Fachleute von Kaspersky Lab sind nicht die einzigen, die versucht haben, den Weg von Stuxnet bis zu seinen Quellen zu verfolgen; die Experten von Symantec haben ebenfalls festgestellt, dass die Verbreitung des Schädlings über fünf Organisationen stattgefunden hat. Diese Informationen ergeben sich aufgrund der von Symantec zusammengetragenen Daten, die zeigen, dass der Wurm in den Logs Angaben über Namen, Domain und IP-Adresse des infizierten Systems speichert.

Mittels weiterer Untersuchungen waren die KL-Experten in der Lage, diese Fünf zu identifizieren: eine Mischung aus Lieferanten industrieller Kontrollsysteme, Entwicklern solcher Systeme und Zentrifugenherstellern. Alle haben vermutlich Verbindungen zu Partnern in Natanz; zwei der fünf Unternehmen stehen auf der Sanktionenliste des Justizministeriums der USA im Zusammenhang mit dem Export von Schmuggelware, unter anderem von Waren der Rüstungsindustrie.

„Um erfolgreich in die streng bewachten Anlagen eindringen zu können, in denen der Iran sein Atomprogramm entwickelt, mussten die Angreifer eine schwierige Aufgabe lösen: Wie kann der Schadcode an einen Ort gelangen, der nicht direkt mit dem Internet verbunden ist? Der Überfall auf einzelne "prominente" Organisationen war die Lösung, und vermutlich war sie von Erfolg gekrönt“, kommentiert GReAT. Wie sich zeigte, hat sich Stuxnet nicht auf diese Opfer beschränkt; der Wurm begann andere Organisationen anzugreifen, breitete sich innerhalb von wenigen Monaten weltweit aus.

Eine Analyse des Schadcodes, der auf den Computern des ersten Opfers, Foolad Technic Engineering Co. aus Isfahan, Iran, gefunden wurde, hat ergeben, dass sich Stuxnet neben Zentrifugen auch für die Projekte STEP 7 von Siemens interessierte. Die in den Netzen von Foolad gefundene Version des Wurms wurde am 22. Juni 2009 kompiliert und infizierte seinen ersten Computer innerhalb von Stunden, was die Möglichkeit einer Infektion via USB-Stick nach Worten der Forscher ausschließt.

Foolad, das im April 2010 erneut einer Attacke ausgesetzt war (dieses Mal war es die dritte Stuxnet-Version), ist auf die Entwicklung automatisierter Systeme für die iranische Wirtschaft spezialisiert, insbesondere für die Stahl- und Energieindustrie. Dieses Unternehmen unterhält enge Verbindungen zu Betreibern von Steuerungssystemen von Herstellungsprozessen. „Es gibt keine Zweifel, dass es im Netz dieses Unternehmens Materialien, Zeichnungen und Pläne der größten Industriebetriebe im Iran zu finden sind“, heißt es in dem Bericht von GReAT. „Man darf auch nicht vergessen, dass Stuxnet nicht nur mit Motoren interagiert, sondern auch noch über eine Spionagefunktionalität verfügt, und Informationen über die in dem infizierten System gefundenen STEP 7-Projekte gesammelt hat.“

„Die Beharrlichkeit der Stuxnet-Autoren könnte davon zeugen, dass sie Foolad Technic Engineering Co nicht nur für einen der kürzesten Wege zum finalen Ziel des Wurms hielten, sondern auch für ein überaus interessantes Objekt zum Sammeln von Daten über die Industrie des Iran“, vermuten die Experten.

Behpajooh Co. Elec & Comp. Engineering, ein weiterer Entwickler von Automatisierungssystemen für die industrielle Produktion aus Isfahan, wurde im Jahr 2009 einmal angegriffen und zweimal im Jahr 2010, wobei die Cyberkriminellen alle drei Stuxnet-Varianten ausprobierten. Die Experten von Kaspersky Lab halten Bahpajooh für den Patienten Null, mit dem die massenhafte Verbreitung des Wurms ihren Anfang nahm. Aus dem Netz dieses Unternehmens drang der Schädling dann nach Aussage von GReAT schnell in das größte Stahlwerk im Iran, Mobarakeh Steel, ein.

„Der Angriff von Stuxnet auf diesen Betrieb, der offensichtlich mit Dutzenden anderen Werken des Iran in Verbindung steht und bei seinen Produktionsprozessen eine enorme Anzahl von Computern verwendet, hat eine Kettenreaktion hervorgerufen, die zur raschen Ausbreitung des Wurms in tausenden Systemen innerhalb von nur 2-3 Monaten führte“, erklären die Experten und fügen hinzu, dass die Stuxnet-Infektionen bereits im Juli 2010 bis nach Russland und Weißrussland reichten.

Das dritte Opfer aus dieser ersten Fünfergruppe, Neda Industrial Group, wurde am 7. Juli 2009 befallen.
Bemerkenswert ist, dass eins der Tochterunternehmen von Neda ein Dienstleister im Bereich Automatisierung von Produktionsprozessen im Energiesektor, der Zementproduktion, in der Öl- und Gasgewinnung und in petrochemischen Betrieben ist. Neda wurde nur einmal angegriffen, wobei es Stuxnet den Logs nach zu urteilen nicht gelungen ist, über die Grenzen der Organisation hinaus zu gelangen. „Allerdings war das in diesem Fall möglicherweise auch gar nicht das Ziel“, schreibt GReAT. „Wie wir bereits erwähnten, war die Funktion zum Diebstahl von Informationen über STEP 7-Projekte in den infizierten Systemen ebenfalls von besonderem Interesse für die Stuxnet-Autoren.“

Zur selben Zeit wie Neda wurde auch Control Gostar Jahed infiziert, ein weiteres iranisches Unternehmen, das auf die Automatisierung von Produktionsprozessen spezialisiert ist. Es wurde nur einmal angegriffen; laut Aussage der Experten war das die kürzeste der bekannten Verbreitungslinien von Stuxnet.

Das fünfte Stuxnet-Opfer wurde laut GReAT am 11. Mai 2010 angegriffen; an diesem Tag wurden drei Computer der Organisation infiziert, die die Experten von Kaspersky Lab mit an Sicherheit grenzender Wahrscheinlichkeit als Kala Electric identifizierten. Dieses Unternehmen ist einer der wichtigsten Entwickler von Zentrifugen zur Uran-Anreicherung im Rahmen des iranischen Atomprogramms. „So erscheint es recht schlüssig“, schließen die Forscher, „ dass dieses Unternehmen als erstes Glied in der Infektionskette gewählt wurde, das den Wurm zu seinem endgültigen Ziel befördern sollte. Man fragt sich, warum diese Organisation nicht unter den Angriffsopfern des Jahres 2009 war.“

Quelle:        Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.