Von Beginn war klar, dass es sich bei der gesamten Attacke um eine zielgerichtete Operation handelte. Der Code des Stuxnet-Wurms erschien professionell programmiert und exklusiv zu sein. Zudem gab es Hinweise darauf, dass sehr teure Zero-Day-Schwachstellen zum Einsatz kamen. Allerdings war bis heute unbekannt, welche Art von Organisationen zuerst infiziert wurde und wie es der Schädling schlussendlich bis zu den Uran anreichernden Zentrifugen innerhalb streng geheimer Einrichtungen schaffen konnte.
Infizierung über Lieferkette
Nach Erkenntnissen von Kaspersky Lab waren alle fünf Organisationen, die zu Beginn der Stuxnet-Kampagne attackiert wurden – also zwischen den Jahren 2009 und 2010 –, im sogenannten ICS-Bereich (Industrial Control Systems) im Iran tätig, entweder um industrielle Steuerungssysteme zu entwickeln oder um hierfür Materialien beziehungsweise Teile zu liefern. Die fünfte von Stuxnet infizierte Organisation ist laut Kaspersky besonders interessant, weil diese neben anderen Produkten für die industrielle Automation auch Uran anreichernde Zentrifugen herstellt – also genau die Art von Anlagenteil, welche vermutlich das Hauptziel von Stuxnet war.
Offenbar seien die Angreifer davon ausgegangen, dass diese Organisationen im Datenaustausch mit ihren Kunden stehen und somit der Schädling über die Zulieferer in die anvisierten Zieleobjekte eingeschleust werden könne, folgern die Sicherheitsexperten. "Wenn man sich die Geschäftsfelder der ersten Opferorganisationen von Stuxnet genauer ansieht, erkennt man, wie die gesamte Operation geplant wurde", so Alexander Gostev von Kaspersky. "Es handelt sich um ein klassisches Beispiel eines Angriffs auf eine Lieferkette, bei dem das Schadprogramm indirekt in die anvisierte Organisation, nämlich über das Partnernetzwerk eingeschleust wurde."
Allererste Stuxnet-Attacke vermutlich nicht über USB-Stick
Darüber hinaus hat sich nach Erkenntnissen von Kaspersky der Stuxnet-Wurm nicht ausschließlich über infizierte USB-Sticks verbreitet, die an PCs angeschlossen wurden. Diese bisher vermutete Theorie erklärte, wie Malware in eine Einrichtung eingeschleust werden konnte, die keine direkte Verbindung mit dem Internet hatte. Eine nähere Untersuchung der allerersten Attacke von Stuxnet zeige laut Kaspersky allerdings, dass die erste Stuxnet-Variante nur wenige Stunden jung war, als sie auf einem PC der angegriffenen Organisation landete.
Diesem straffen Zeitrahmen nach sei es nur schwer vorstellbar, dass ein Angreifer den Schadcode erstellt, ihn auf einen USB-Stick gepackt und innerhalb weniger Stunden in der anvisierten Organisation eingeschleust habe. In diesem Fall sei eine Infizierung über andere Techniken als die via USB wahrscheinlich, so das Unternehmen in einer Mitteilung.
Kommentare
Da dieser Artikel älter als 18 Monate ist, ist zum jetzigen Zeitpunkt kein Kommentieren mehr möglich.
Wir laden Sie ein, bei einer aktuelleren themenrelevanten Story mitzudiskutieren: Themenübersicht.
Bei Fragen können Sie sich gern an das Community-Team per Mail an forum@krone.at wenden.