Industrieller Stuxnet-Wurm wurde vor mehr als einem Jahr geschrieben

Ein ausgereifter Wurm, der darauf ausgelegt war, Industrie-Geheimnisse zu stehlen, gibt es schon viel länger als bisher angenommen, so die Sicherheitsexperten, die die bösartige Software untersuchen.

Stuxnet genannt, war der Wurm bis Mitte Juli unbekannt Es wurde von Ermittlern mit VirusBlockAda identifiziert, einem Sicherheitsanbieter in Minsk, Weißrussland. Der Wurm zeichnet sich nicht nur durch seine technische Raffinesse aus, sondern auch durch die Tatsache, dass er auf industrielle Computer zur Steuerung von Fabriken und Kraftwerken abzielt.

Forscher von Symantec haben jetzt eine frühe Version des Wurm, der im Juni 2009 erstellt wurde, und die bösartige Software wurde dann im Frühjahr 2010 viel ausgefeilter gemacht.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Diese frühere Version von Stuxnet verhält sich genauso wie seine aktuelle Inkarnation - es versucht, sich mit Siemens SCADA (überwachende Kontroll- und Datenerfassungs-) Managementsysteme zu verbinden und Daten zu stehlen - aber es verwendet nicht einige der neueren Wurms bemerkenswerteren Techniken, um Antivirus-Erkennung zu umgehen und Installieren Sie sich auf Windows-Systemen. Diese Funktionen wurden wahrscheinlich einige Monate vor dem ersten Wurm entdeckt, sagte Roel Schouwenberg, Forscher beim Antiviren-Hersteller Kaspersky Lab. "Dies ist ohne Zweifel der ausgereifteste Angriff, den wir bisher gesehen haben."

Nachdem Stuxnet erstellt wurde, haben seine Autoren eine neue Software hinzugefügt, die es ermöglicht, sich unter USB-Geräten praktisch ohne Intervention des Opfers zu verbreiten. Und irgendwie gelang es ihnen auch, Chiffrierschlüssel der Chip-Unternehmen Realtek und JMicron in die Hände zu bekommen und die Malware digital zu signieren, so dass es für Antivirenscanner schwieriger wäre, sie zu erkennen.

Realtek und JMicron haben beide Büros in der Hsinchu Science Park in Hsinchu, Taiwan, und Schouwenberg glaubt, dass jemand die Schlüssel gestohlen haben könnte, indem er physisch auf Computer der beiden Unternehmen zugreift.

Sicherheitsexperten sagen, dass diese gezielten Angriffe seit Jahren andauern, aber erst seit kurzem Aufmerksamkeit erregen, nachdem Google bekannt gab, dass es durch einen Angriff, der als Aurora bekannt ist, ins Visier genommen wurde.

Sowohl Aurora als auch Stuxnet nutzen ungepatchte Zero-Day-Fehler in Microsoft-Produkten. Aber Stuxnet ist technisch bemerkenswerter als der Google-Angriff, sagte Schouwenberg. "Aurora hatte einen Zero-Day, aber es war ein Zero-Day gegen IE6", sagte er. "Hier haben Sie eine Sicherheitslücke, die gegen jede Version von Windows seit Windows 2000 wirksam ist."

Am Montag hat Microsoft einen frühen Patch für die Windows-Schwachstelle ausgeführt, die Stuxnet verwendet, um sich von System zu System zu verbreiten. Microsoft hat das Update veröffentlicht, als der Stuxnet-Angriffscode in böswilligeren Angriffen eingesetzt wurde.

Obwohl Stuxnet von einem Fälscher benutzt werden könnte, um Betriebsgeheimnisse zu stehlen - Fabrikdaten, wie man beispielsweise Golfschläger herstellt - Schouwenberg vermutet, dass ein Nationalstaat hinter den Angriffen steckt.

Bis heute hat Siemens vier seiner Kunden mit dem Wurm infiziert. Aber all diese Angriffe haben sich auf Engineering-Systeme ausgewirkt und nicht auf alles in der Fabrik.

Obwohl die erste Version des Wurms im Juni 2009 geschrieben wurde, ist es unklar, ob diese Version in einem realen Angriff verwendet wurde. Schouwenberg glaubt, dass der erste Angriff bereits im Juli 2009 hätte sein können. Der erste bestätigte Angriff, den Symantec über Daten vom Januar 2010 kennt, sagte Vincent Weafer, Symantecs Vizepräsident für Sicherheitstechnologie und Reaktion.

Die meisten infizierten Systeme sind im Iran, Er fügte hinzu, obwohl auch Indien, Indonesien und Pakistan betroffen sind. Das ist sehr ungewöhnlich, sagte Weaver. "Es ist das erste Mal seit 20 Jahren, dass ich mich erinnere, dass der Iran so stark auftaucht."

Robert McMillan berichtet über Computersicherheit und allgemeine Technologie, die Nachrichten für Der IDG-Nachrichtenservice. Folge Robert auf Twitter unter @bobmcmillan. Roberts E-Mail-Adresse lautet [email protected]