Iran meldet erneute Angriffe mit Stuxnet

**Annika_Kremer** · 25. 12. 2012, 17:55

Der Iran berichtet von erneuten Angriffen auf Industrie-Anlagen durch den auf die Sabotage derartiger Anlagen spezialisierten Computerschädling Stuxnet. Angeblich wurden die Attacken jedoch von iranischen IT-Sicherheitsexperten erfolgreich abgewehrt und richteten keine ernst zu nehmenden Schäden an.

zur News

**simpliziss** · 25. 12. 2012, 17:58

Wobei man bei solchen Meldungen nie weiß, ob sie den Tatsachen entsprechen oder nur vorgeschoben werden, um das Feindbild zu pflegen.

**cronozon** · 25. 12. 2012, 23:20

Angeblich wurden die Attacken jedoch von iranischen IT-Sicherheitsexperten erfolgreich abgewehrt

Stuxnet? Ich denke das Teil ist doch schon locker 2 Jahre alt. Dass man da immer noch "IT-Sicherheitsexperten" braucht um das Teil abzuwehren finde ich ehrlich gesagt trauriger.

Ich meine wenn ich mir einen 2 Jahre alten Virus einfange, erwarte ich doch von meinem System, dass danke Updates diese Sicherheitslücke nicht mehr existiert und ich mir das Teil nicht einfangen kann. Wenn das nicht möglich ist, erwarte ich wenigstens, dass mein Virenscanner sagt "du hast einen veralteten Virus, den ich kenne. Möchtest du ihn von deinem System schmeißen?"

Da muss ich doch nicht direkt einen "IT-Sicherheitsexperten" einstellen, damit er diesen erfolgreich abwehrt

**sebone** · 25. 12. 2012, 23:30

Malware muss nicht gleich "schlecht", bzw. funktionsuntüchtig sein, nur weil sie 2 Jahre alt ist. Gerade professionelle Schadsoftware wird gerne über Jahre gepflegt und aktualisiert.
Außerdem kann selbst alte Malware durch entsprechende Obfuscation vor aktuellen Malwarescannern versteckt werden.

**Annika_Kremer** · 25. 12. 2012, 23:49

Was sebone sagt. Zumal Stuxnet - was für staatlich entwickelte Programme typisch ist, aber auch bei Kriminellen vorkommt - nach einem Baukasten-System aufgebaut und kann somit einfach verändert werden.

**cronozon** · 25. 12. 2012, 23:54

Ja klar kann man über Änderungen in dem Programm z.B. die Schutzsoftware umgehen.
Aber irgendwie muss der Stuxnet ja auf den Rechner kommen.
Immerhin ist die Rede von einem Kraftwerk und da erwartet man doch, nach dem bekannt werden von Stuxnet vor über 2 Jahren, dass der Infektionsweg geschlossen wird. Was man sich nicht einfangen kann, kann auch keinen Schaden anrichten.

Immerhin ist ein Kraftwerk kein Heimcomputer wo man sich alle paar Monate mal eine neue Software installiert um so neue Sicherheitslücken zu schaffen.

EDIT:
gut vielleicht liegen auch nur meine Sicherheitsvorstellungen von Kraftwerken zu hoch. Aber ich würde doch das System direkt nach dem ersten Suxnet so umbauen, dass da nichts von außen rein kann.

**Sebelrassler** · 26. 12. 2012, 00:27

Zitat von cronozon

gut vielleicht liegen auch nur meine Sicherheitsvorstellungen von Kraftwerken zu hoch. Aber ich würde doch das System direkt nach dem ersten Suxnet so umbauen, dass da nichts von außen rein kann.

Und gerade das ist wohl nicht so einfach: Stuxnet – Wikipedia

**Zeddicius** · 26. 12. 2012, 00:41

cronozon, im Iran hört man mittlerweile Thunderstruck von AC/DC in den Atomanlagen. Der Virus hat es möglich gemacht.
Wie kommen Viren in Atomanlagen? Habe ich mich auch schon immer gefragt. Googlegott: iran stuxnet siemens

In den 20Uhr Nachrichten ist das noch nicht vorgekommen, also wird es noch keine "vertrauenswürdige" Quellen geben. Wenn du noch ein Handyvideo hast? Schick es Bitte an die Anstalt des öffentlichen Rechts.

**rexxxx** · 26. 12. 2012, 11:33

Guten Morgen alle zusammen und frohe Restweinachten.

Anhand der Kommentare merkt man, dass die meisten keine Ahnung haben was StuxNet ist.
Um das etwas zurecht zurücken möchte ich euch etwas aufklären.

StuxNet ist ein ganz besonderes Stück Software, weil es der erste und bislang einigste Virus ist der Industrie Steuerungen angreift.

Im Fall von StuxNet handelt es sich dabei um Steuerungen der Firma SIEMENS, welche mit Step 7 Projektiert werden.
Diese Steuerungen bestehen nicht wie ein PC aus all zu komplexen Einheiten.
Mann kann Sie eher mit einem Microcontroller vergleichen. Dies Step 7 Steuerungen sind Modular aufgebaut, dass heißt man kauft eine CPU und Ein- Ausgangsmodule. Sie besitzen keinen Monitor und auch keine Boxen. Was die AC/DC Geschichte unglaubwürdig macht. Man kann über Bus einen Panel PC anschließen und dann mittels HMI Software eine Visualisierung erzeugen, aber darauf zielt StuxNet nicht.

Anders als bei einem PC kann man auf die Steuerungen nur das projektierte Programm übertragen und keine Antivieren Software. Die Speicherkapazitäten einer S7 sind 128kb, 256kb, 512kb und 1024kb. Es gibt auch noch eine 4Mb Karte, diese wird aber nur für Firmwareupdates benötigt und kostet auch einiges. Eine 512kb SD Karte für S7 kostet ca. 100€ und bei einer CPU sind wir ohne Ein und Ausgänge bei <1000,-€.

S7 Steuerungen haben in der Regel keinen Internetzugriff. Mann kann einen Industrie Router für einen VPN Tunnel verbinden aber die S7 kann nicht aktiv mit diesen Kommunizieren weil sie dazu nicht in der Lage ist. In einem PROFINET Netzwerk ist sie nicht in der Lage Aktiv mit den Router zukommunizieren.

Soviel als grobe Übersicht zu den Steuerungen.
Kommen wir zu StuxNet selbst.

StuxNet selbst ist eine Modularer Virus der wie eine Matroschka, also eine dieser russischen Puppen wo eine in der anderen steckt aufgebaut ist. StuxNet selbst beinhaltet ein Programm, ,was aktiv wird wenn bestimmte Hardwarekomponenten eingesetzt werden. Im aktiven Zustand steuert StuxNet Aktoren und verfälscht Messwerte. So werden z.B. ungewollte Ventile geöffnet oder andere Aktoren gesteuert und Sensormesswerte verfälscht.

Verbreitet wird StuxNet über USB Sticks und über S7 Projekte nicht übers Internet.
Dabei infiziert StuxNet den Rechner mit einer Gefälschten Treiber Signatur den Rechner, über den Autostart. Im Anschluss Prüft eine Komponente ob Step 7 oder Win CC oder eine dritte Software (Ist glaube ich die SIMENS Software um PID Regler einzustellen aber da fällt mir grade nicht der Name ein) installiert ist und befällt diese. Alle Projekte, die mit diesen Anwendungen geöffnet werden, erhalten jetzt den eigentlichen Schadcode.

StuxNet wird selbst heute noch nicht zu 100% von den aktuellen Virenscannern gefunden. So z.B. mit Avira nur wenn man aktiv danach sucht und auch nur wenige Bestandteile des Virus, welche ihm zwar am starten Hindern aber es sind halt immer noch Bestandteile im Projekt die man nicht mehr losbekommt ohne das gesamte Projekt zu Riskieren.

Es hat nach dem ersten bekannten fall fast 1 Jahr gedauert bis die Virenscanner überhaupt einen Teil erkennen konnten. In unserer Firma waren fast alle Projekte infiziert und das „Reparatur“ Tool von SIEMENS hatte die Viren identifiziert, dann die Projekte gelöscht und dann gefragt ob man sie löschen möchte

das war wieder mal typisch SIEMENS.

Die Vermutung, dass SIEMENS aktiv an der Entwicklung beteiligt war liegt recht nah konnte aber bislang nicht nachgewiesen werden.

Und mich würde es nicht mal wunder, wenn StuxNet Serien mäßig in der Firmware heute zu finden ist. Fakt ist, dass sehr viele anlagen überall auf der Welt infiziert sind und StuxNet ist einfach nicht aktiv, weil die Bedingungen nicht erfüllt wurden.

Nach den letzten Infos die ich erhalten habe darüber, wurde in StuxNet auch ein Rootkit gefunden, aber um die zu nutzen muss der Angreifer mehr Informationen über die Anlage haben da die Steuerung selbst nicht in der Lage ist eine Internet Verbindung aufzubauen.

Hoffe ich konnte etwas Klarheit zu dem Thema rein bringen

StuxNet ist natürlich noch etwas Komplexer und auch die Projektdateien infizieren das PG, also das Programmier Gerät wieder aber für eine Übersicht sollte das langen.