Siemens hat den Trojaner »Stuxnet« isoliert und untersucht

Trojaner »Stuxnet« geht außerordentlich gezielt vor

Der Trojaner »Stuxnet«, der Microsoft-Windows-Rechner von Siemens mit den Programmen WinCC und/oder PCS 7 befällt, wird nur in Anlagen mit einer ganz bestimmten Konfiguration aktiv. Siemens hat »Stuxnet« auf einer Testanlage isoliert und seine Funktionsweise untersucht. Unterdessen hat der Trojaner iranischen Regierungsvertretern zufolge massenhaft Industrieanlagen des Landes infiziert, darunter das Atomkraftwerk Buschehr.

Laut den Informationen auf der Support-Website der WinCC- und PCS-7-Software lassen die bislang analysierten Eigenschaften und das Verhalten von »Stuxnet« den Schluss zu, dass es sich bei ihm nicht um die zufällige Entwicklung eines Hackers handeln kann. Der Trojaner müsse das Produkt eines Expertenteams sein, das neben IT-Kenntnissen auch spezifisches Know-how über Industriesteuerungen und deren Einsatz in industriellen Produktionsprozessen mitsamt entsprechendem Engineering-Wissen haben müsse.

Der Support-Website zufolge kann »Stuxnet« in einer spezifischen Automatisierungslösung oder Anlagenkonfiguration mit installierter WinCC- oder PCS-7-Software nicht nur Daten weitergeben, sondern auch bestimmte Abläufe in der Steuerung beeinflussen. Das Verhaltensmuster des Trojaners deute aber darauf hin, dass er nur in Anlagen mit einer speziellen Konfiguration aktiv werde. Er suche gezielt nach einer entsprechenden technischen Konstellation mit Baugruppen und Programmmustern, die für einen spezifischen Produktionsprozess stünden. Dieses Muster sei beispielsweise durch einen Datenbaustein und zwei Code-Bausteine eingrenzbar.

Laut der Support-Website zielt »Stuxnet« offenbar auf einen speziellen Prozess oder eine Anlage und nicht auf eine bestimmte Steuerungstechnik-Marke oder Prozesstechnik und schon gar nicht auf die Mehrheit der industriellen Anwendungen. Dies zeigt sich demnach an den bei Siemens bekannten 15 Fällen, in denen der Trojaner zwar entdeckt wurde, aber nicht aktiv geworden war und entfernt wurde, ohne dass es zu Schäden kam. Bei den 15 Fällen war allerdings eine spezifische, wie oben beschrieben aufgebaute Anlage nicht dabei.

»Stuxnet« versucht, eigene Bausteine (beispielsweise DB890, FC1865, FC1874) in die Zentralbaugruppe des Automatisierungssystems zu laden und in den Programmablauf einzubinden. Wenn die genannten Bausteine bereits im bisherigen Programm-Code vorhanden sind, greift der Trojaner nicht in das Anwenderprogramm ein. Falls aber im Ursprungsprogramm der Steuerung die genannten Bausteine nicht vorhanden waren und jetzt erkannt werden, ist das Automatisierungssystem infiziert. In diesem Fall empfiehlt Siemens, die Malware umgehend zu beseitigen. Auf der Support-Website informiert das Unternehmen über die nötigen Schritte und stellt entsprechende Software-Tools zum Download bereit.

Security-Experten zufolge muss die Programmierung von »Stuxnet« angesichts seiner Komplexität einen siebenstelligen Euro-Betrag gekostet haben. Spekuliert wird daher über Staaten und deren Geheimdienste als Urheber. Gewicht bekommen die Vermutungen dadurch, dass iranische Regierungsvertreter bestätigt haben, der Trojaner habe 30.000 Rechner in Industrieanlagen des Landes befallen, unter anderem auch im Atomkraftwerk Buschehr, das demnächst in Betrieb gehen soll.

Weiterführende Links:

• Bedrohung für Siemens-IPCs und -SPSen: Trojaner »Stuxnet« offenbar gefährlicher als ursprünglich gedacht
• Sicherheit: Stuxnet: »staatlich unterstützter Angriff«
• Sicherheit: Stuxnet: Iranische Atomanlage befallen
• Stuxnet: »Microsoft Stuxnet Cleaner« löscht Festplatte
• Medienberichte zu Stuxnet: Gemeinsam entwickelt, in Israel getestet
• Interview Stuxnet / Security: »Industrial Security ist kein Science-Fiction-Thema!«
• Security: Zielgerichtete Viren-Attacken sind zu befürchten
• Cyber-Angriff: Kommt nach »Stuxnet« jetzt »Stars«?