Stuxnet

Vorlage:Infobox Computerwurm Stuxnet ist ein Computerwurm, der im Juni 2010 entdeckt und zuerst unter dem Namen RootkitTmphider beschrieben wurde.<ref group="T" name="timeline" /> Das Schadprogramm wurde speziell entwickelt zum Angriff auf ein System zur Überwachung und Steuerung (SCADA-System), das speicherprogrammierbare Steuerungen des Herstellers Siemens vom Typ Simatic S7 verwendet. Dabei wurde in die Steuerung von Frequenzumrichtern der Hersteller Vacon aus Finnland und Fararo Paya in Teheran eingegriffen. Frequenzumrichter dienen beispielsweise dazu, die Geschwindigkeit von Motoren zu steuern.

Solche Steuerungen werden vielfach eingesetzt, etwa in Industrieanlagen wie Wasserwerken, Klimatechnik oder Pipelines.<ref group="T" name="modifying_plcs" />

Da bis Ende September 2010 der Iran den größten Anteil der infizierten Computer besaß<ref group="T" name="infection_statistics" /> und es zu außergewöhnlichen Störungen im iranischen Atomprogramm kam, lag es nah, dass Stuxnet hauptsächlich entstand, um als Schadsoftware die Leittechnik für Zentrifugen der Urananreicherungsanlage in Natanz<ref name="spon2010-12-26">Angriff auf Irans Atomprogramm – Stuxnet könnte tausend Uran-Zentrifugen zerstört haben. Spiegel Online, 26. Dezember 2010</ref> oder des Kernkraftwerks Buschehr<ref name="nyt2011-02-26">Iran Reports a Major Setback at a Nuclear Power Plant. nytimes.com, 25. Februar 2011</ref> zu stören.

Die hochversierte Entwicklergruppe und Auftraggeber sind unbekannt.<ref group="T" name="executive_summary" /> Jedoch leitete das US-Justizministerium im Jahr 2013 Ermittlungen gegen Stuxnet-Projektleiter General James E. Cartwright ein.<ref name="spiegel_908298">Ermittlungen der US-Justiz: Vier-Sterne-General soll Stuxnet-Programm verraten haben. spiegel.de, 28. Juni 2013, abgerufen am 28. Juni 2013. </ref> Die Behörde vermutete, dass dieser im Jahr 2010 Details zu Stuxnet an die New York Times weitergab, was mutmaßlich zur Enttarnung des 50 Millionen Dollar teuren Sabotageprogramms führte.<ref name="spiegel_908298" /> Eine Anklage gegen Cartwright in der Sache selbst erfolgte nicht. Allerdings wurde er wegen einer Falschaussage bei den Ermittlungen angeklagt, jedoch 2017 noch vor einem Urteil von Präsident Barack Obama begnadigt.

Eigenschaften und Besonderheiten

Stuxnet gilt aufgrund seiner Komplexität und des Ziels, Steuerungssysteme von Industrieanlagen zu sabotieren, als bisher einzigartig. Die öffentlich verfügbaren Erkenntnisse basieren auf den Aussagen von IT-Fachleuten, die ausführbare Dateien der Schadsoftware analysierten. Die Beurteilungen basieren teilweise auf Interpretationen, da der Quelltext der Urheber nicht veröffentlicht ist.

Aufgrund der Komplexität von Stuxnet wird ein für eine Schadsoftware außerordentlich hoher Entwicklungsaufwand vermutet. Der Zeitaufwand wird bei einer vorhandenen Testumgebung für Hard- und Software auf mindestens sechs Monate, der Personalaufwand auf mindestens fünf bis zehn Hauptentwickler sowie zusätzliches Personal für Qualitätssicherung und Management geschätzt. Neben dem Fachwissen für die Entwicklung der Software mussten Kenntnisse über unbekannte Sicherheitslücken und Zugang zu geheimen Signaturen zweier Unternehmen vorhanden sein. Die Unternehmen mit den frühesten Anzeichen einer Stuxnet-Infektion waren Zulieferer. Daher wurde das Schadprogramm indirekt über das Partnernetzwerk eingeschleust.<ref>Friedhelm Greis: Kaspersky identifiziert die ersten fünf Stuxnet-Opfer. In: golem.de. Kaspersky Lab, 11. November 2014, abgerufen am 22. November 2014. </ref>

Die Einzigartigkeit von Stuxnet zum Zeitpunkt seiner Entdeckung zeigt sich insbesondere in der Art seiner Verbreitung durch

1. Ausnutzung mehrerer teilweise bis dahin unbekannter Sicherheitslücken der Microsoft-Betriebssysteme ab Windows 2000 bis zu Windows 7 oder Windows Server 2008 R2,<ref group="T" name="installation" />
2. Installation eines Rootkits in diesen Betriebssystemen mit Hilfe gestohlener digitaler Signaturen der taiwanischen Hardware-Hersteller Realtek und JMicron Technology,<ref group="T" name="blog/2234">Costin Raiu: Stuxnet and stolen certificates. In: Securelist. Kaspersky Lab, 20. Juli 2010, archiviert vom Vorlage:IconExternal am 29. März 2014; abgerufen am 14. Oktober 2010 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)). </ref>
3. genaue Kenntnisse des Prozessvisualisierungssystems WinCC zur Überwachung und Steuerung technischer Prozesse mit Simatic S7 (engl. ICS: Industrial Control System) sowie
4. Installation eines weiteren Rootkits in der Steuerung (SPS, engl. PLC: Programmable Logic Controller) einer solchen PCS-7-Anlage.<ref group="T" name="conclusion" />

Infektionsweg

Der Stuxnet-Wurm wurde spätestens ab dem 15. November 2007 in Umlauf gebracht, die dazugehörigen Command-and-Control-Server wurden am 3. November 2005 registriert. Erstmals wurde Stuxnet im Juni 2010 von Sergej Ulasen vom belarussischen Unternehmen VirusBlokAda nach einem Hinweis eines iranischen Kunden identifiziert. Es kam bei einer dortigen Anlage zu Systemabstürzen und anderen Störungen.<ref name="SZ_PaulAntonKrueger_2010-10-02">Paul Anton Krüger et al.: Der Wurm und der Luftballon. In: Süddeutsche Zeitung. 2. Oktober 2010. </ref> Auf der Virus Bulletin 2010 Conference<ref name="virus bulletin">Virus Bulletin in der englischsprachigen Wikipedia</ref> wurde von Symantec der bisherige Kenntnisstand im W32.Stuxnet Dossier zusammengefasst, das aktualisiert wird, wenn neue Erkenntnisse vorliegen. Demnach greift Stuxnet Simatic-S7-Anlagen an, deren Konfiguration bestimmte Eigenschaften aufweist.

Im Allgemeinen werden Simatic-Anlagen mit einem speziellen Notebook, dem „SIMATIC Field PG“, projektiert, in Betrieb genommen und gewartet.<ref group="T" name="siemens">Industrie Notebook SIMATIC Field PG. Siemens AG, abgerufen am 9. November 2010. </ref> Auf einem solchen Programmiergerät (PG) ist neben dem Betriebssystem Software zur Programmierung mit STEP 7 und zur Prozessvisualisierung mit WinCC vorinstalliert. Außerdem ist das Gerät mit Ethernet-, USB- und PROFIBUS-Schnittstellen ausgerüstet.

Die Projektierung und Entwicklung der HMI-Software (Human-Machine-Interface) findet innerhalb eines internen Netzwerkes (LAN) statt, dessen Internetzugang durch eine Firewall abgesichert ist. Auf einem Field-PG ist dazu mindestens ein STEP-7-Projektordner vorhanden. Die Kopplung mit einer SPS wird softwareseitig durch die Softwarebibliothek der WinCC-DLL (Dynamic Link Library) hergestellt.<ref group="T" name="modifying_plcs" /> Zur Inbetriebnahme, Diagnose und Wartung wird das Field-PG mit der eigentlichen Steuerungsanlage verbunden. Diese ist in der Regel selten mit einem LAN oder gar mit dem Internet direkt verbunden.<ref group="T" name="fotos">Fotos aus dem KKW Buschehr:

• Mohammad Kheirkhah: Bushehr Nuclear Power Plant in Iran. UPI-Photo, 25. Februar 2009, abgerufen am 14. November 2010 (Das Foto veranschaulicht, wie ein Field-PG (der Laptop im Vordergrund) prinzipiell an eine Steuerungsanlage angeschlossen wird. Ein Zusammenhang mit dem Artikel Stuxnet ist rein zufällig.): „Russian technicians work at Bushehr nuclear power plant in the Bushehr Port on the Persian Gulf, 1,000 kms south of Tehran, Iran on February 25, 2009. Iranian officials said the long-awaited project was expected to become operational last fall but its construction was plagued by several setbacks, including difficulties in procuring its remaining equipment and the necessary uranium fuel.“ 
• Mohammad Kheirkhah: Iran’s Bushehr nuclear power plant in Bushehr Port. UPI-Photo, 25. Februar 2009, abgerufen am 14. November 2010 (Es handelt sich um die Fehlermeldung „WinCC Runtime License: Your software license has expired! Please obtain a valid license.“ Ein Zusammenhang mit dem Artikel Stuxnet ist rein zufällig.): „An error is seen on a computer screen of Bushehr nuclear power plant’s map in the Bushehr Port on the Persian Gulf, 1,000 kms south of Tehran, Iran on February 25, 2009...“ </ref>

Anhand der technischen Eigenschaften von Stuxnet ergibt sich ein mögliches Angriffsszenario:<ref group="T" name="attack_scenario" /> Nach der Erstinfektion in einem Betrieb versucht Stuxnet sich innerhalb des LANs zu verbreiten, um Field-PGs ausfindig zu machen. Auf diesen werden alle STEP7-Projektordner als auch die WinCC-Bibliothek infiziert. Sobald ein betroffenes PG mit einer geeigneten Steuerungsanlage verbunden wird, versucht Stuxnet deren Programmierung zu verändern. Dies erfolgt vor den Operatoren versteckt: Stuxnet ist auch ein PLC-Rootkit. Für einen Computerwurm ist das Schadprogramm ungewöhnlich groß. Es führt allen benötigten Code mit sich, um sich mit einem Peer-to-Peer-Mechanismus selbst zu aktualisieren, ohne eine dauerhafte Internetverbindung zu benötigen.<ref group="T" name="stuxnet_architecure" /> Zusätzlich gibt es Funktionen, um einem command and control server, wie in einem Botnet, Rückmeldungen geben zu können.

Betriebssystem-Ebene

Um sein Ziel zu erreichen, muss Stuxnet auf Rechner gelangen, die mit der anvisierten Anlagensteuerung verbunden sind oder werden. Dazu wurden vier während des Einsatzes unveröffentlichte Windows-Sicherheitslücken (Zero-Day-Exploits) missbraucht. Davon betroffen sind die 32-Bit-Betriebssysteme Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 und Windows 7. Stuxnet versucht, sich auf einem der genannten Systeme zu installieren, sobald ein USB-Speichermedium angeschlossen wird. Dazu wird das fehlertolerante Parsen der autorun.inf durch Windows ausgenutzt. Diese Datei enthält sowohl den eigentlichen Schadcode als auch an ihrem Ende gültige Autorun-Informationen, nach der die Datei eine ausführbare EXE-Datei ist. Auch wenn die Autostart-Option abgeschaltet wurde, steht im Kontextmenü eine Open-Funktion zur Verfügung, die das manuelle Ausführen des Schadcodes erlaubt.<ref group="T" name="autorun" />

Zu Beginn der Infektion prüft Stuxnet, ob der Rechner schon infiziert ist und, wenn ja, ob seine gespeicherten Konfigurationsdaten aktuell sind. Danach prüft er auf ein passendes 32-Bit-System. Je nach Version des Betriebssystems gibt er sich durch zwei verschiedene Zero-Day-Exploits mittels Privileg-Eskalation erweiterte Rechte. Bis zur Version Windows XP SP2 verwendet Stuxnet dazu einen Fehler im Kernel-Mode-Treiber win32k.sys,<ref group="T" name="MS10-073">Windows Kernel-Mode Drivers Could Allow Elevation of Privilege. Microsoft Security Bulletin MS10-073, 12. Oktober 2010, abgerufen am 18. November 2010 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)). </ref> bei neueren Versionen benutzt er eine Lücke im Task-Scheduler.<ref group="T" name="installation" /> Anschließend versucht Stuxnet, seinen Schadcode in installierte Antiviren- und Windows-Systemdienste zu injizieren.<ref group="T" name="avprogs" /> Die eigentliche Installation führt Stuxnet danach in einem eigenen, vom kompromittierten System als vertrauenswürdig eingestuften Prozess aus. Neben anderen Dateien<ref group="T" name="files1" /> installiert der Wurm mit Hilfe der signierten Zertifikate auch zwei Treiberdateien mrxcls.sys und mrxnet.sys im System, die die weitere Verbreitung von Stuxnet auch nach einem Neustart sicherstellen sollen.

Nach der Installation des Windows-Rootkits stehen Stuxnet mehrere Möglichkeiten zur Verfügung, sich in einem LAN zu verbreiten, in dem nur ein eingeschränkter oder gar kein Internetzugang möglich ist:<ref group="T" name="propagation" /> Es werden RPC-Server- und -Client-Programme installiert, die die Peer-to-Peer-Kommunikation zwischen mehreren infizierten Rechnern erlauben. Die verschiedenen Stuxnet-Instanzen sind dadurch in der Lage, sich auf eine vorhandene neuere Version zu aktualisieren. Weiterhin versucht sich Stuxnet, über die Verzeichnis-Freigaben aller Benutzer eines Computers und der Domäne auf weiteren Computern zu installieren.

Der Computerwurm nutzt eine Sicherheitslücke in der Verwaltung des Druckspoolers („Print Spooler zero-day vulnerabilty“), um Dateien in das %System%-Verzeichnis zu schreiben. Inzwischen hat sich herausgestellt, dass diese Sicherheitslücke von der Zeitschrift Hakin9 zwar schon im April 2009 beschrieben wurde, aber in freier Wildbahn zum ersten Mal von Stuxnet ausgenutzt wurde.<ref group="T" name="MS10-061">Belege:

• CVE-2010-2729: Microsoft Windows Print Spooler Service Remote Code Execution Vulnerability. Symantec Connect, 27. September 2010, abgerufen am 19. November 2010. 
• MS10-061: Vulnerability in Print Spooler Service Could Allow Remote Code Execution. Microsoft Security Bulletin, 29. September 2010, abgerufen am 19. November 2010. </ref> Diese Lücke wird nur ausgenutzt, wenn das Systemdatum vor dem 1. Juni 2011 liegt.<ref group="T" name="propagation" />

Ein Pufferüberlauf im Windows Server Service (WSS)<ref group="T" name="ms08_067">Belege:

• CVE-2008-4250: Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability. Symantec Connect, 9. Februar 2009, abgerufen am 19. November 2010. 
• MS08-067: Vulnerability in Server Service Could Allow Remote Code Execution. Microsoft Security Bulletin, 23. Oktober 2008, abgerufen am 19. November 2010. </ref>

wurde schon von dem Computerwurm Conficker alias Downadup ausgenutzt. Stuxnet verwendet diesen Fehler ebenfalls, um sich per SMB auf weiteren Computern zu installieren. Allerdings müssen dazu bestimmte zeitliche Rahmenbedingungen erfüllt sein:

1. Das aktuelle Datum liegt vor dem 1. Januar 2030.
2. Die jeweiligen Virendefinitionsdateien wurden zuletzt vor dem 1. Januar 2009 aktualisiert.
3. Die Zeitmarken von kernel32.dll und netapi32.dll liegen nach dem 28. Oktober 2008 (Windows Patch Day).<ref group="T" name="propagation" />

In einer seit März 2010 nachgewiesenen Version von Stuxnet<ref group="T" name="timeline" /> wird eine Schwachstelle in der Behandlung von LNK-Dateien<ref group="T" name="ms10_046">Belege:

• CVE-2010-2568: Microsoft Windows Shortcut 'LNK/PIF' Files Automatic File Execution Vulnerability. Symantec Connect, 11. August 2010, abgerufen am 19. November 2010. 
• Vulnerability in Windows Shell Could Allow Automatic File Execution. Multi-State Information Sharing and Analysis Center (MS-ISAC), 17. Juli 2010, abgerufen am 19. November 2010. 
• MS10-046: Sicherheitsanfälligkeit in Windows Shell kann Remotecodeausführung ermöglichen (2286198). Microsoft Security Bulletin, 2. August 2010, abgerufen am 3. Dezember 2010. </ref> verwendet, um den Wurm über neu angeschlossene USB-Laufwerke verbreiten zu können, ohne auf eine Netzwerkverbindung angewiesen zu sein. Dazu genügt es, sich den Verzeichnisinhalt des Laufwerks anzeigen zu lassen. Vor einer Installation prüft Stuxnet, ob durch das Laufwerk schon drei Rechner infiziert wurden. In diesem Fall werden die Dateien<ref group="T" name="files2" /> vom Laufwerk gelöscht. Außerdem findet nach dem 24. Juni 2012 keine weitere Verbreitung statt. Durch Eingriffe in kernel32.dll und netapi32.dll bleiben diese Vorgänge dem Benutzer verborgen.<ref group="T" name="installation" />

WinCC-Software

Der nächste wichtige Schritt für Stuxnet ist, sich in STEP7-Projektdateien (S7P-Dateien) festzusetzen. Zum einen benutzt er dazu den Server, der die WinCC-Datenbank-Software zur Verfügung stellt. Mit Hilfe des in der Software fest einprogrammierten Kennworts schreibt Stuxnet durch SQL-Befehle eine Kopie seiner selbst in die Datenbank. Sobald der lokale Rechner infiziert ist, wird der Eintrag wieder entfernt, aber gleichzeitig eine CAB-Datei geschrieben, die eine neue Stuxnet-DLL erzeugen kann. Durch Suchvorgänge beim Laden der Systembibliotheken wird dann diese modifizierte DLL geladen, entschlüsselt und installiert.<ref group="T" name="propagation" /> Damit ereignet sich eine neue Infektion, die auch ein vorheriges Löschen der Dateien von Stuxnet wieder kompensiert. Zum anderen installiert er zwei Hooks im Simatic Manager für PCS 7.<ref group="T" name="engineering-system">Engineering System. Siemens AG, abgerufen am 20. November 2010. </ref> Es wird jedes Projekt infiziert, das innerhalb etwa der letzten 3,5 Jahre benutzt oder geändert wurde und das einen Ordner wincproj mit einer gültigen MCP-Datei (eine solche wird typischerweise von WinCC selbst erzeugt) enthält. Von einer Infektion ausgenommen werden Projekte, die nach dem Schema \Step7\Examples\* benannt sind.<ref group="T" name="propagation" />

Die Datei s7otbxdx.dll ist die zentrale Bibliothek, mit der die Kopplung einer SPS mit einer Step7-Anwendung oder einem Field-PG stattfindet. Die originale Datei wird von Stuxnet in s7otbxsx.dll umbenannt und durch eine eigene s7otbxdx.dll ergänzt, damit Schreib- und Lesezugriffe zur SPS überwacht werden können. Insbesondere ermöglicht dieses Vorgehen sowohl das Unterbringen eigenen Schadcodes als Anweisungsliste (AWL, engl. Statementlist STL) in der SPS als auch diesen Code vor Veränderungen zu schützen. Letztlich wird von der Stuxnet-DLL als SPS-Rootkit kontrolliert, welche Programme mit welchen Parametern in der angeschlossenen SPS ausgeführt werden.<ref group="T" name="modifying_plcs" />

Eingriff in die speicherprogrammierbare Steuerung

Die Programme für eine Simatic-S7-Steuerung sind in verschiedene Bausteine mit bestimmten Aufgaben aufgeteilt:

• Organisationsbausteine (OB) werden von der SPS-CPU zyklisch abgearbeitet, um Programme auszuführen. Besonders wichtig sind OB1 als zentraler Einstiegspunkt für jedes Programm und OB35 als standardmäßiger Watchdog-Timer.
• System-Daten-Bausteine (SDB) speichern den konkreten Aufbau einer bestimmten Anlagensteuerung. Hier wird die Konfiguration, beispielsweise Anzahl und Typ, der angeschlossenen Geräte hinterlegt.
• In den Datenbausteinen (DB) sind die Datenstrukturen der jeweiligen Programme abgelegt.
• Funktionsbausteine (FB) enthalten den eigentlichen Programmcode.

Stuxnet überprüft vor einer Infektion die SPS auf verschiedene Eigenschaften und verhält sich dementsprechend unterschiedlich. Es wurden drei verschiedene Infektionsroutinen A, B und C festgestellt. Die Varianten A und B sind für die S7-300<ref group="T" name="s7-300">S7-300 CPUs. Siemens AG, 24. Juni 2009, archiviert vom Vorlage:IconExternal am 24. Dezember 2010; abgerufen am 1. Dezember 2010. </ref> mit CPU-Typ 315–2 und bestimmten in den SDBs definierten Werten ausgelegt. Diese beiden Varianten wurden inzwischen genauer untersucht. Über die deutlich komplexere Variante C für die S7-400 mit CPU-Typ 417<ref group="T" name="s7-400">S7-400 CPUs. Siemens AG, archiviert vom Vorlage:IconExternal am 18. Oktober 2010; abgerufen am 1. Dezember 2010. </ref> wurde bis November 2010 wenig bekannt, da der Programmcode anscheinend deaktiviert oder nur „teilweise fertig“ ist.<ref group="T" name="modifying_plcs" />

Durch die Hilfe eines niederländischen Profibus-Experten konnte die Funktionsweise der Varianten A und B näher erklärt werden. Eine Infektion erfolgt nur dann, wenn der Programmbaustein FB1869<ref group="T" name="modifying_plcs" /> definiert und im SDB mindestens ein Profibus-Kommunikations-Modul CP-342-5 eingetragen ist. Bis zu sechs dieser Module steuern je 31 Frequenzumformer an, die die Drehgeschwindigkeit von Elektromotoren regeln.<ref group="T" name="stuxnet-breakthrough" /> Durch die Implementierung eines endlichen Automaten mit sechs Zuständen verändert Stuxnet in unregelmäßigen Abständen von 13 Tagen bis zu drei Monaten die von den Umformern einzustellende Frequenz. Anhand der im SDB hinterlegten Identifikationsnummer<ref group="T" name="profibus">vgl. dazu Ident Numbers: What They Are, And How To Get One. Profibus & Profinet International, abgerufen am 1. Dezember 2010. </ref> wurde die Stuxnet-Variante A Frequenzumformern des Unternehmens Vacon<ref name="vacon">Vacon in der englischsprachigen Wikipedia. Vacon is a leading supplier of variable speed AC drives. Vacon Plc, abgerufen am 1. Dezember 2010 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)). </ref> aus Finnland, die Variante B dem Hersteller Fararo Paya<ref name="fararopaya">FararoPaya. Abgerufen am 1. Dezember 2010 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)). </ref> in Teheran zugeordnet.<ref group="T" name="modifying_plcs" />

Aktualisierungen und Abruf von Daten

Bei jeder Installation sammelt Stuxnet Informationen über den infizierten Computer und speichert diese verschleiert in einer eigenen Konfigurationsdatei. Unter anderem wird gespeichert:<ref group="T" name="attack_scenario" />

• der Zeitpunkt der Infektion,
• die Versionsnummern von Betriebssystem und Service Pack,
• die IP-Adressen der Netzwerkschnittstellen,
• die Namen des Computers und der Windows-Workgroup oder -Domäne,
• und die Namen der infizierten Step7-Projekte.

Durch eine Get-Anfrage über Port 80 an www.windowsupdate.com und www.msn.com prüft Stuxnet, ob eine Internet-Verbindung überhaupt möglich ist oder durch eine Firewall verhindert wird. Bei Erfolg werden die gesammelten Daten an die Adressen www.mypremierfutbol.com und www.todaysfutbol.com per Get index.php?data=[DATA] übertragen. Die Server dieser Domains hatten ihren Sitz in Dänemark und Malaysia. Für Stuxnet ist es möglich, sich über diese Mechanismen ähnlich wie in einem Botnetz zu aktualisieren, allerdings wurde dies noch nicht beobachtet.<ref group="T" name="command_and_control" />

Verbreitung

Die Verbreitung von Stuxnet auf PCs ist deutlich größer als in den Anlagensteuerungen. Im ersten Fall genügt das Vorhandensein des richtigen Betriebssystems, im anderen Fall muss zwingend der Funktionsbaustein FB1869 und die Steuerung der Frequenzumformer vorhanden sein. So war Stuxnet auf sehr vielen PCs nachweisbar, während bei anderen Leitsystemen die Störungen vermutlich unbeabsichtigt waren.<ref name="SZ_PaulAntonKrueger_2010-10-02" /> Seitdem wird der Wurm von verschiedenen Anti-Virus-Spezialisten analysiert. Wenn nichts anderes angegeben ist, stammen die folgenden Angaben aus dem Kapitel Timeline des W32.Stuxnet Dossiers von Symantec.<ref group="T" name="timeline" />

Vermutungen über die Urheber und Ziele

Experten und Ingenieure

IT-Sicherheitsspezialisten gehen davon aus, dass Stuxnet gezielt zur Sabotage iranischer Atomanlagen programmiert wurde. Der Aufwand für den Wurm sei gewaltig und teuer gewesen, zudem richte er nur in bestimmten Anlagen Schaden an, andere würden offenbar ohne Schaden lediglich infiziert. Als Verteiler käme vor allem die russische Atomstroiexport infrage.<ref name="sz2010-10-01">Johannes Kuhn: Stuxnet-Sabotagevirus – „Die Büchse der Pandora ist geöffnet“. In: sueddeutsche.de. 1. Oktober 2010, abgerufen am 14. Oktober 2010. </ref>

Laut Wieland Simon (Siemens) müssen an der Entwicklung des Wurms Experten und Ingenieure aus ganz unterschiedlichen Bereichen beteiligt gewesen sein – neben Windows-Programmierern auch Fachleute für Automatisierungstechnik und große Industrieanlagen. Nur ein solches Team wäre in der Lage, einen Schädling zu programmieren, der nacheinander mehrere technisch sehr unterschiedliche Hürden überwindet.<ref name="nzz2010-09-26">Andreas Hirstein: «Hier war ein Expertenteam am Werk» – Stuxnet, ein gefährlicher Computerwurm. NZZ, 26. September 2010, archiviert vom Vorlage:IconExternal am 30. September 2010; abgerufen am 15. Oktober 2010. </ref>

Wegen des großen Programmieraufwandes wird von Jewgeni Kasperski, Liam O Murchu (Symantec) und anderen Fachleuten angenommen, dass der Wurm nicht von Privatpersonen, sondern vermutlich von einer staatlichen Organisation stammt.<ref name="orf2010-09-26">Der „Hack des Jahrhunderts“. "Stuxnet"-Virus legt Iran lahm. In: ORF.at. Österreichischer Rundfunk, 26. September 2010, abgerufen am 30. September 2010. </ref><ref name="faz2010-09-22">Frank Rieger: Trojaner „stuxnet“ – Der digitale Erstschlag ist erfolgt. In: FAZ.NET. 22. September 2010, abgerufen am 30. September 2010. </ref><ref name="RC">Yvan Côté: Cyberguerre: les armes de demain. In: Télévision de Radio-Canada. 21. Februar 2012, abgerufen am 22. Februar 2012. </ref> Auch die hohen Entwicklungskosten für den Wurm, die auf einen 7-stelligen Dollar-Betrag geschätzt werden, sprächen dafür.<ref name="RC" />

Zum Auftraggeber Israel

Mehrere Expertenteams fanden im Wurmcode Textbausteine, die nahelegen, dass die Angreifer ihr Projekt „Myrtus“ nannten. Der deutsche IT-Sicherheitsspezialist Langner wies als erster auf die mögliche Anspielung auf den ursprünglich hebräischen Namen der Bibelfigur Esther hin. Carol Newsom, Professorin für Altes Testament an der Emory University, bestätigte den linguistischen Zusammenhang der hebräischen Wörter für „Myrtus“ und „Esther“ (hebr. Hadassah). Das Buch Esther im Alten Testament erzählt die Geschichte eines geplanten Völkermords der Perser an den Juden, den letztere auf Initiative Esthers verhindern können, indem sie ihrerseits die Feinde vernichten.<ref name="NYTimes20100929">Ethan Bronner, William J. Broad: In a Computer Worm, a Possible Biblical Clue. In: NYTimes. 29. September 2010, abgerufen am 2. Oktober 2010 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)). </ref>

In den Medien wurde diese Spekulation als Hinweis auf eine mögliche Urheberschaft Israels gewertet.<ref name="Kurier20101001" /><ref name="RC" /> Laut Süddeutsche Zeitung halten die meisten Fachleute diese These allerdings für eine Verschwörungstheorie.<ref name="SZ-2010-01-02" /> Es könnte auch eine falsch ausgelegte Fährte sein.<ref group="T" name="windows_rootkit" /> Shai Blitzblau, technischer Direktor und Chef von Maglan, einem israelischen IT-Sicherheitsunternehmen im Militärbereich, ist überzeugt, dass Israel nichts mit Stuxnet zu tun hat. Er vermutet Wirtschaftsspionage gegen Siemens oder eine Art „akademisches Experiment“.<ref name="NYTimes20100929" />

Yossi Melman, Journalist der israelischen Tageszeitung Haaretz, hielt Israel 2010 für den wahrscheinlichen Urheber. Er führte an, dass der Vertrag des Direktors des israelischen Auslandsgeheimdienstes Mossad, Meir Dagan, 2009 verlängert wurde, da er in wichtige Projekte involviert sei. Zudem hätte Israel den geschätzten Zeitpunkt, bis zu welchem Iran eine Atombombe besitzen soll, überraschend auf das Jahr 2014 nach hinten verschoben.<ref name="NYTimes20100929" />

Laut einem Artikel der New York Times vom 30. September 2010 behauptet ein ehemaliges Mitglied der United States Intelligence Community, dass der israelische Nachrichtendienst Unit 8200, der mit der NSA vergleichbar ist, den Angriff mit Stuxnet ausgeführt habe.<ref name="nyt2010-09-30">John Markoff, Kevin O’Brien: A Silent Attack, but Not a Subtle One. In: New York Times online. 30. September 2010, abgerufen am 15. Oktober 2010 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)). </ref><ref name="stirling-westrup">John Markoff, Kevin O’Brien: A Silent Attack, but Not a Subtle One. 30. September 2010, archiviert vom Vorlage:IconExternal am 26. April 2014; abgerufen am 15. Oktober 2010 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)). </ref> Laut einem späteren Artikel vom 15. Januar 2011 untersuchten das Ministerium für Innere Sicherheit der Vereinigten Staaten und das Idaho National Laboratory 2008 das betroffene PCS-7-Steuerungssystem von Siemens auf Schwachstellen. Anschließend soll der auf Grundlage dieser Erkenntnisse entwickelte Wurm im israelischen Negev-Nuklear-Forschungszentrum getestet worden sein; dort waren Gaszentrifugen pakistanischer Herkunft errichtet worden, die auch im Iran verwendet werden.<ref name="nyt2011/01/16">William J. Broad, John Markoff, David E. Sanger: Israel Tests on Worm Called Crucial in Iran Nuclear Delay. In: New York Times online. 15. Januar 2011, abgerufen am 4. Oktober 2015 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)). </ref> Weiter stehen laut Bericht der New York Times vom 15. Januar 2011 in Israels Atomwaffenzentrum „Dimona“ Zentrifugen, die mit den iranischen baugleich sind und daher als Test für den Wurm verwendet worden sein könnten.<ref name="nyt2011/01/16" />

Die israelische Tageszeitung Haaretz berichtete am 14. Februar 2011 von einem Video, in dem sich der seinerzeitige israelische Generalstabschef der IDF, Gabi Aschkenasi, brüstet, neben den israelischen Angriffen auf einen syrischen Atomreaktor auch für die erfolgreiche Stuxnet-Attacke verantwortlich gewesen zu sein.<ref name="haaretz"><templatestyles src="Webarchiv/styles.css" />haaretz.co.il (Memento vom 17. Februar 2011 im Internet Archive) Haaretz, 14. Januar 2011</ref><ref name="silverstein2011-02-14">Richard Silverstein: Ashkenazi Video Admits IDF Bombed Syrian Nuclear Reactor and Created Stuxnet. 14. Februar 2011</ref>

Der ehemalige Geheimdienstmitarbeiter und Whistleblower Edward Snowden erhärtete im Juli 2013 den Verdacht, Stuxnet sei eine Entwicklung der NSA in Zusammenarbeit mit Israel.<ref>https://www.haaretz.com/snowden-israel-u-s-made-stuxnet-1.5293165</ref>

Zum Auftraggeber Vereinigte Staaten

Die New York Times veröffentlichte am 1. Juni 2012 einen Vorabauszug aus dem Buch Confront and Conceal: Obama’s Secret Wars and Surprising Use of American Power von David E. Sanger.<ref>David E. Sanger: Obama Order Sped Up Wave of Cyberattacks Against Iran. The New York Times, 1. Juni 2012, abgerufen am 19. Juni 2012 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)). </ref> Er stützt sich auf Interviews mit Beteiligten und folgert daraus, dass ein Cyberangriff mit Stuxnet noch zu Zeiten von US-Präsident George W. Bush begonnen worden sei. Barack Obama habe die Geheimaktion mit dem Codenamen „Operation Olympic Games“ (Olympische Spiele) noch beschleunigt, erst in seiner Amtszeit seien amerikanische und israelische Computerexperten mit dem komplexen Wurm fertiggeworden. Obama habe das Programm betreut und jeden weiteren Schritt persönlich autorisiert, schreibt Sanger.

Ideengeber und Leiter des Projekts war vermutlich der US-General James E. Cartwright, der von 2007 bis 2011 der zweithöchste Offizier der Streitkräfte der USA war. Das US-Justizministerium gab im Juni 2013 bekannt, dass es Ermittlungen gegen den mittlerweile pensionierten Cartwright aufgenommen habe, da die Behörde vermutet, dass er als Projektleiter es selbst war, der im Jahr 2010 Informationen über die Existenz Stuxnets an die New York Times weitergegeben habe, was schließlich zur Enttarnung des Programms geführt hatte.<ref name="spiegel_908298" /> Cartwright wurde nicht wegen Geheimnisverrats angeklagt, wohl aber Ende 2016 wegen einer Falschaussage bei den Ermittlungen. Er wurde jedoch im Januar 2017 noch vor einer Verurteilung von Präsident Barack Obama begnadigt und erhielt auch seine Geheimhaltungsstufe bestätigt.<ref name="CBS171016">Vorlage:Cite book/Name: [Internetquelle: archiv-url ungültig Retired general charged with false statements in leak probe.] In: CBSNews.com. CBS, Fehler bei Vorlage:Internetquelle, datum=Vorlage:Cite book/Date , archiviert vom Vorlage:IconExternal (nicht mehr online verfügbar) am Vorlage:Cite book/URL; abgerufen am 27. Oktober 2016. Vorlage:Cite book/URLVorlage:Cite book/MeldungVorlage:Cite book/Meldung2Vorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/Meldung</ref><ref name="Politico">Vorlage:Cite book/NameVorlage:Cite book/Name: [Internetquelle: archiv-url ungültig Journalists' letters submitted in Cartwright leniency bid.] Fehler bei Vorlage:Internetquelle, datum=Vorlage:Cite book/Date , archiviert vom Vorlage:IconExternal (nicht mehr online verfügbar) am Vorlage:Cite book/URL; abgerufen am 10. Januar 2017. Vorlage:Cite book/URLVorlage:Cite book/MeldungVorlage:Cite book/Meldung2Vorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/Meldung</ref><ref name="The Hill">Vorlage:Cite book/NameVorlage:Cite book/Name: [Internetquelle: archiv-url ungültig Obama pardons James Cartwright in leak case.] In: The Hill. Fehler bei Vorlage:Internetquelle, datum=Vorlage:Cite book/Date , archiviert vom Vorlage:IconExternal (nicht mehr online verfügbar) am Vorlage:Cite book/URL; abgerufen am 17. Januar 2017. Vorlage:Cite book/URLVorlage:Cite book/MeldungVorlage:Cite book/Meldung2Vorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/Meldung</ref>

Zu einer Gemeinschaftsarbeit mehrerer Staaten

Die iranische Nachrichtenagentur Press TV bezieht sich in einem Artikel vom 16. Januar 2011 auf ebendiesen Artikel in der New York Times vom 15. Januar 2011. Gesagt wird, dass ein US-Experte erklärte, dass Stuxnet ein Produkt amerikanischer, israelischer sowie auch britischer und deutscher Zusammenarbeit sei. Diese Position wird auch in einem Artikel in der israelischen Tageszeitung Haaretz vertreten, in dem von einer aktiven Rolle von Siemens bei der Programmierung von Stuxnet die Rede ist.<ref name="Haaretz">Yossi Melman: Israel finally moving to define national policy on Iran. 10. März 2011, abgerufen am 5. März 2012 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)). </ref> Iranische Offizielle werden dahingehend zitiert, dass Stuxnet keine große Bedrohung für Iran dargestellt habe, da das Virus früh bemerkt und unschädlich gemacht worden sei.<ref name="presstv">SF/HRF/MB: Stuxnet, US-Israeli bid against Iran. In: Press TV. 16. Januar 2011, archiviert vom Vorlage:IconExternal am 12. Februar 2015; abgerufen am 16. Januar 2011 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)). </ref>

2024 wurde bekannt, dass ein damals 36-jähriger Niederländer bei der Sabotage des iranischen Atomprogramms durch Stuxnet eine entscheidende Rolle gespielt haben soll.<ref>Marc Stöckel, Stuxnet im Iran: Atomanlage angeblich von einem Niederländer infiltriert, golem.de vom 9. Januar 2024</ref><ref>Thomas Gutschker: Wie Stuxnet nach Natans kam. In: Frankfurter Allgemeine Zeitung. 14. Januar 2024, abgerufen am 17. September 2024. </ref>

Ziele

In einem Artikel der Zeit vom 26. November 2010 vermutet Sandro Gaycken, dass auf Grund der hohen Verbreitung des Wurms (unter anderem in Deutschland und China) und des hohen Aufwands der Verbreitung (hauptsächlicher Weg ist die gezielte Einbringung über einen USB-Datenträger) die Ziele des Wurms über die Schädigung der iranischen Anlagen hinausgehen. Vielmehr geht er davon aus, dass Stuxnet als „ein Test für künftige Sabotageakte in Industrieanlagen“, unter anderem auch in „Infrastrukturen wie Strom, Wasser oder Gas“, gedacht sein könnte. Als Gründe für diese Vermutung führt er unter anderem an, dass die hohe Verbreitung des Wurms und dessen Fähigkeit zum Kontaktieren des Angreifers die Entdeckungswahrscheinlichkeit des Wurms drastisch erhöht haben. Bei einem gezielten Einsatz zur Störung der iranischen Uran-Anreicherungsanlage wäre es jedoch eher von Vorteil gewesen, lange unentdeckt zu bleiben, um so die Störung möglichst lange aufrechterhalten zu können.<ref name="zeit2010-11-26">Sandro Gaycken: Wer war’s? Und wozu? In: Die Zeit, Nr. 48/2010</ref>

Medienberichten zufolge war möglicherweise die iranische Uran-Anreicherungsanlage in Natanz das Ziel der Attacke.<ref name="Stuxnet worm mystery">Mark Clayton: Stuxnet worm mystery: What’s the cyber weapon after? Yahoo News, 25. Februar 2009, abgerufen am 28. September 2010 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)). </ref> Laut geheimen Dokumenten, die über die Internetplattform WikiLeaks an die Öffentlichkeit gebracht wurden, gab es in Natanz im Jahr 2009 einen nuklearen Störfall, der die Produktionskapazität der Anlage um 15 Prozent reduzierte.<ref name="wikileaks">Serious nuclear accident may lay behind Iranian nuke chief’s mystery resignation. Archiviert vom Vorlage:IconExternal am 10. Oktober 2009; abgerufen am 3. Oktober 2010. </ref> Es wird angenommen, dass die Zentrifugen der Anlage durch WinCC-Systeme gesteuert werden.<ref name="Stuxnet worm mystery" />

Ende November 2010 gestand Irans Präsident Mahmud Ahmadineschad ein, dass der Wurm Probleme mit den Uranzentrifugen verursacht hatte. Stuxnet hatte die Geschwindigkeit der Zentrifugen manipuliert, die sehr genau bei 1064 Umdrehungen pro Sekunde liegen muss. Hierdurch wurden diese beschädigt. Gleichzeitig verschleierte Stuxnet dieses. Dieses und die genauen Kenntnisse der Anlage sprächen für die Urheberschaft westlicher Geheimdienste, so das Institute for Science and International Security (ISIS).<ref name="spon2010-12-26" /> Der Stuxnet-Angriff auf iranische Atom- und Industrieanlagen soll nach Angaben eines hochrangigen iranischen Geheimdienstmitarbeiters rund 16.000 Computer infiziert haben.<ref name="boell 03">Iran-Report, 03/2012 (PDF; 398 kB) abgerufen am 4. März 2012</ref> Skriptfehler: Ein solches Modul „Vorlage:Anker“ ist nicht vorhanden.

Nachfolger Duqu

Im Oktober 2011 hat das Laboratory of Cryptography and System Security (CrySyS)<ref>Vorlage:Cite book/Name: [Internetquelle: archiv-url ungültig Laboratory of Cryptography and System Security (CrySyS).] Fehler bei Vorlage:Internetquelle, datum=Vorlage:Cite book/Date , archiviert vom Vorlage:IconExternal (nicht mehr online verfügbar) am Vorlage:Cite book/URL; abgerufen am 4. November 2011. Vorlage:Cite book/URLVorlage:Cite book/MeldungVorlage:Cite book/Meldung2Vorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/Meldung</ref> an der Budapest University of Technology and Economics in Ungarn eine neue Malware gefunden. Die Wissenschaftler haben einen 60-seitigen Bericht darüber geschrieben<ref>Vorlage:Cite book/Name: [Internetquelle: archiv-url ungültig Duqu: A Stuxnet-like malware found in the wild, technical report.] (PDF; 1,5 MB) Laboratory of Cryptography of Systems Security (CrySyS), Fehler bei Vorlage:Internetquelle, datum=Vorlage:Cite book/Date , archiviert vom Vorlage:IconExternal (nicht mehr online verfügbar) am Vorlage:Cite book/URL; abgerufen am 31. Mai 2012. Vorlage:Cite book/URLVorlage:Cite book/MeldungVorlage:Cite book/Meldung2Vorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/Meldung</ref> und sie Duqu genannt,<ref>Vorlage:Cite book/Name: [Internetquelle: archiv-url ungültig Statement on Duqu’s initial analysis.] Laboratory of Cryptography of Systems Security (CrySyS), Fehler bei Vorlage:Internetquelle, datum=Vorlage:Cite book/Date , archiviert vom Vorlage:IconExternal (nicht mehr online verfügbar) am Vorlage:Cite book/URL; abgerufen am 25. Oktober 2011. Vorlage:Cite book/URLVorlage:Cite book/MeldungVorlage:Cite book/Meldung2Vorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/MeldungVorlage:Cite book/Meldung</ref> nach dem Präfix „~DQ“, das sie den Namen der von ihr erzeugten Dateien voranstellt. Symantec hat seinen Bericht zusammen mit dem CrySyS-Bericht veröffentlicht.<ref>W32.Duqu – The precursor to the next Stuxnet (PDF; 4,1 MB)</ref> Nach Einschätzung von Symantec wurde Duqu entweder von denselben Autoren entwickelt oder die Autoren hatten Zugriff auf den Quelltext von Stuxnet. Duqu besitzt vor allem Spionageeigenschaften. Symantec vermutet, dass hiermit Informationen gesammelt werden sollen, um zukünftige Angriffe vorzubereiten.<ref>Virus Duqu alarmiert IT-Sicherheitsexperten. In: Zeit Online. 19. Oktober 2011, abgerufen am 19. Oktober 2011. </ref>

Trivia

Der Oscar-prämierte Regisseur Alex Gibney hat mit seinem Dokumentarfilm Zero Days die Entstehungsgeschichte von Stuxnet sowie deren Verbreitung und Nutzung verfilmt.<ref>Zero Days – Stuxnet war nur der Anfang eines Cyberkriegs. In: 4You2Connect.com. Abgerufen am 1. September 2016. </ref>

Literatur

• David E. Sanger: Confront and Conceal. Obama’s Secret Wars and Surprising Use of American Power. Random House, 2013, ISBN 0-307-71803-4
• Kim Zetter: Countdown to Zero Day. Stuxnet and the Launch of the World’s First Digital Weapon. Crown, 2014, ISBN 0-7704-3617-X
• Lars Reppesgaard: Angriff am Fließband. In: Die Zeit, Nr. 34/2010
• Israel Tests on Worm Called Crucial in Iran Nuclear Delay. In: The New York Times, 15. Januar 2011

Weblinks

• Matthias Kremp: Hafen im Persischen Golf: Iran bestätigt Cyber-Attacke auf seine Ölindustrie. Spiegel Online, 23. April 2012, abgerufen am 23. April 2012 (vgl. Spyware, viruses, & security forum: New Deadly Virus/Worm discovered last night). 
• Matthias Kremp: Spektakuläre Virus-Analyse: Stuxnet sollte Irans Uran-Anreicherung stören. Spiegel Online, 16. November 2010, abgerufen am 17. November 2010. 
• Nicolas Falliere, Liam O Murchu, Eric Chien: W32.Stuxnet Dossier. (PDF; 4,1 MB) Version 1.4. Symantec, 11. Februar 2011, abgerufen am 4. Juli 2011 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)). 
• Ralph Langner: To Kill a Centrifuge. (PDF; 3,4 MB) A Technical Analysis of What Stuxnet’s Creators Tried to Achieve. The Langner Group, November 2013, abgerufen am 20. Januar 2014 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)). 
• Frank Rieger: Der digitale Erstschlag ist erfolgt. FAZ.NET, 22. September 2010, abgerufen am 10. November 2010. 
• Frank Rieger: stuxnet: targeting the iranian enrichment centrifuges in Natanz? 22. September 2010, abgerufen am 28. Dezember 2010. 
• Themenseite Stuxnet heise online
• Angriff auf Irans Atomprogramm: Stuxnet könnte tausend Uran-Zentrifugen zerstört haben. Spiegel Online, 26. Dezember 2010
• Stuxnet: Israel soll iranische Atomanlage nachgebaut haben. Spiegel Online, 16. Januar 2011

Anmerkungen

Technische Beschreibungen

Das W32.Stuxnet Dossier von Nicolas Falliere, Liam O Murchu und Eric Chien wurde bei Symantec bisher in folgenden Versionen veröffentlicht:

• Version 1.0 am 30. September 2010
• Version 1.1 am 12. Oktober 2010
• Version 1.2 am 3. November 2010
• Version 1.3 am 12. November 2010
• Version 1.4 am 11. Februar 2011

<references group="T"> <ref name="executive_summary"> W32.Stuxnet Dossier, Kapitel Executive Summary </ref> <ref name="attack_scenario"> W32.Stuxnet Dossier, Kapitel Attack Scenario </ref> <ref name="timeline"> W32.Stuxnet Dossier, Kapitel Timeline </ref> <ref name="infection_statistics"> W32.Stuxnet Dossier, Kapitel Infection Statistic </ref> <ref name="stuxnet_architecure"> W32.Stuxnet Dossier, Kapitel Stuxnet Architecture </ref> <ref name="avprogs"> Das Dossier nennt in Injection Technique Kaspersky KAV, McAfee, Avira AntiVir, Bitdefender, eTrust, F-Secure, zwei Symantec-Produkte, ESET, PC-Cillin von Trend Micro, sowie lsass.exe, winlogon.exe und Svchost.exe. </ref> <ref name="installation"> W32.Stuxnet Dossier, Kapitel Installation </ref> <ref name="files1"> Im W32.Stuxnet Dossier wird in Installation aufgezählt:

• oem7a.pnf das eigentliche Schadprogramm (main payload)
• %SystemDrive%\inf\mdmeric3.PNF (data file)
• %SystemDrive%\inf\mdmcpq3.PNF (configuration data)
• %SystemDrive%\inf\oem6C.PNF (log file)

</ref> <ref name="command_and_control"> W32.Stuxnet Dossier, Kapitel Command and Control </ref> <ref name="windows_rootkit"> W32.Stuxnet Dossier, Kapitel Windows Rootkit Functionality </ref> <ref name="files2"> Das Dossier listet in Windows Rootkit Functionality u. a. folgende Dateien:

• %DriveLetter%\~WTR4132.tmp (Stuxnets Haupt-DLL, ca. 500 kB)
• %DriveLetter%\~WTR4141.tmp (Ladeprogramm für ~WTR4132.tmp, ca. 25 kB)
• %DriveLetter%\Copy of Shortcut to.lnk
• %DriveLetter%\Copy of Copy of Shortcut to.lnk
• %DriveLetter%\Copy of Copy of Copy of Shortcut to.lnk
• %DriveLetter%\Copy of Copy of Copy of Copy of Shortcut to.lnk</ref>

<ref name="propagation"> W32.Stuxnet Dossier, Kapitel Stuxnet Propagation Methods </ref> <ref name="modifying_plcs"> W32.Stuxnet Dossier, Kapitel Modifying PLCs </ref> <ref name="conclusion"> W32.Stuxnet Dossier, Kapitel Summary </ref> <ref name="autorun"> Liam O. Murchu: Stuxnet Before the .lnk File Vulnerability. In: symantec.connect. Symantec Corporation, 24. September 2010, abgerufen am 10. November 2010 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)).  </ref> <ref name="stuxnet-breakthrough"> Stuxnet: A Breakthrough. Symantec Connect, 12. November 2010, abgerufen am 1. Dezember 2010 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)).  </ref> </references>

Einzelnachweise

<references />