Grundsätzliches

• Stuxnet ist eine hochentwickelte Advanced Persistent Threat (APT)-Malware, die speziell für Angriffe auf industrielle Steuerungssysteme (ICS) entwickelt wurde
• Der Hauptzweck war die Sabotage iranischer Urananreicherungsanlagen durch Manipulation der Zentrifugensteuerung
• Stuxnet wurde vermutlich von staatlichen Akteuren entwickelt, insbesondere von den USA und Israel (Operation "Olympic Games")
• Die Malware nutzte mehrere Zero-Day-Schwachstellen und Rootkit-Techniken zur Tarnung und Verbreitung
• Durch gezielte Angriffe auf speicherprogrammierbare Steuerungen (SPS) von Siemens konnte Stuxnet die Drehzahl der Zentrifugen unbemerkt manipulieren

Technische Details

• Stuxnet war eine äußerst komplexe Malware mit mehreren Verbreitungsmechanismen
• Die Malware infizierte Windows-Systeme über Zero-Day-Exploits in Windows und speziell USB-Sticks
• Nach der Infektion suchte Stuxnet gezielt nach Siemens WinCC/Step7-Software zur Steuerung von Industrieanlagen
• Sie ersetzte legitime SPS-Befehle durch manipulierte Versionen, um Zentrifugen zu beschädigen
• Die Malware bewirkte, dass die betroffenen Zentrifugen wiederholt stark beschleunigt und dann abrupt abgebremst wurden, was zu mechanischem Verschleiß und Ausfällen führte
• Stuxnet konnte sich innerhalb von Netzwerken selbst replizieren, auch wenn diese nicht mit dem Internet verbunden waren
• Das Rootkit verschleierte alle Veränderungen, sodass Betroffene keine ungewöhnlichen Aktivitäten bemerkten

Timeline

2005 - 2007

• Erste Planungen und Entwicklung von Stuxnet durch Geheimdienste der USA und Israels
• Erste Versionen von Stuxnet werden getestet, um Schwachstellen in Siemens SPS zu analysieren

2008 - 2009

• Verbreitung erster Varianten von Stuxnet über infizierte USB-Sticks in iranischen Nuklearanlagen
• Die Malware beginnt, sich in isolierten ICS-Netzwerken festzusetzen
• Erste Manipulationen der Zentrifugensteuerung beginnen
• Die Zentrifugen werden zyklisch beschleunigt und abrupt abgebremst, was zu Materialermüdung und Schäden führt

2010

• Stuxnet wird entdeckt, nachdem er sich unbeabsichtigt weiterverbreitet und IT-Sicherheitsforscher ihn analysieren
• VirusBlokAda, ein Sicherheitsunternehmen aus Weißrussland, entdeckt die Malware und veröffentlicht erste Analysen
• Weitere Analysen durch Symantec und Kaspersky Lab bestätigen, dass es sich um eine gezielt entwickelte Cyberwaffe handelt

Entdeckung und Analyse

• Die Malware wurde erstmals von VirusBlokAda identifiziert, als sich infizierte Systeme in Unternehmen außerhalb des Ziels verbreiteten
• Forscher fanden heraus, dass Stuxnet speziell auf Siemens-SPS-Software abzielte
• Eine tiefgehende Analyse durch Symantec enthüllte die enorme Komplexität und die genutzten Zero-Day-Exploits
• Vermutungen über eine staatliche Beteiligung führten zu umfassenden geopolitischen Diskussionen

Schutzmaßnahmen

• Industriebetriebe sollten ihre ICS-Systeme isoliert halten und auf strikte Netzsegmentierung achten
• Regelmäßige Updates und Patches für Windows und industrielle Steuerungssysteme sind essenziell
• Whitelisting und Härtung von Systemen zur Reduzierung der Angriffsfläche
• Physische Sicherheitsmaßnahmen zur Verhinderung von Malware-Übertragungen über USB-Sticks
• Stärkung von Incident Response und Erkennung von anomalen Netzwerkaktivitäten

Video

Stuxnet

• https://www.youtube.com/watch?v=Lc6qNCVHyFo

Links

• https://www.symantec.com/connect/blogs/stuxnet-introduction-world-s-first-weaponized-malware
• https://www.kaspersky.com/blog/stuxnet-malware-history/26772/
• https://www.wired.com/2014/11/countdown-to-zero-day-stuxnet/