Eine beispiellose Look at Stuxnet, der weltweit erste digitale Waffe
MIT KIM ZETTER
11.03.14 | 06.30 |
Diese jüngste undatierten Satellitenbild von Space
Imaging vorgesehen / Inta SpaceTurk zeigt die einst geheimen Natanz
Nuklearkomplex in Natanz, Iran, etwa 150 Meilen südlich von Teheran. AP Photo /
Space Imaging / Inta SpaceTurk, HO
Im Januar 2010 Inspektoren der Internationalen
Atomenergie-Organisation, die geschäftlich in Natanz Urananreicherungsanlage im
Iran aufgefallen, dass Zentrifugen verwendet, um Uran anzureichern Gas wurden
bei einer beispiellosen Geschwindigkeit scheitern. Die Ursache war ein absolutes
Rätsel-scheinbar so viel an die iranischen Technikern Ersetzen der Zentrifugen
den Inspektoren beobachten sie.
Fünf Monate später wurde ein scheinbar
unzusammenhängenden Ereignis aufgetreten ist. Ein Computer-Sicherheitsfirma in
Belarus wurde gerufen, um eine Reihe von Computern im Iran, die Absturz und
Neustart wiederholt wurden beheben. Auch hier ist die Ursache des Problems war
ein Rätsel. Das heißt, bis die Forscher fanden eine Handvoll schädliche Dateien
auf einem der Systeme und entdeckt das weltweit erste digitale Waffe.
Stuxnet, wie er genannt wird, war anders als alle
anderen Virus oder Wurm, die vor kam. Anstatt einfach Entführung Zielcomputern
oder stehlen Informationen von ihnen, sie die digitale Welt entronnen, physische
Zerstörung an Geräten anrichten die Computer gesteuert.
Countdown to Zero Day: Stuxnet und die Markteinführung
der weltweit erste digitale Waffe , von WIRED senior staff writer Kim Zetter
geschrieben, erzählt die Geschichte hinter Stuxnet die Planung, Durchführung und
Entdeckung. In diesem Auszug aus dem Buch, das 11. November erscheinen wird, hat
Stuxnet bereits bei der Arbeit still sabotieren Zentrifugen in Natanz Anlage für
etwa ein Jahr. Eine frühe Version des Angriffs Waffe manipuliert Ventile an den
Zentrifugen, um den Druck in ihrem Inneren zu erhöhen und die Geräte sowie die
Anreicherungsprozess beschädigen. Zentrifugen sind groß zylindrische Rohre
verbunden durch Rohre in einer Konfiguration als "Kaskade" bekannt mit
Überschallgeschwindigkeit -Das Spin Isotope Uran Gas für den Einsatz in
Kernkraftwerken und Waffen zu trennen.Zum Zeitpunkt der Anschläge, jedes
Kaskaden in Natanz statt 164 Zentrifugen.Urangas strömt durch die Rohre in den
Zentrifugen in einer Reihe von Stufen, zu weiteren "angereichert" in jeder Stufe
der Kaskade, wie Isotopen für eine Kernreaktion benötigt werden von anderen
Isotopen getrennt und werden in der Gasengt.
Ein Auszug aus Stuxnet und die Markteinführung der
weltweit erste digitale Waffe: Countdown to Zero Day
Wie der Auszug beginnt, Juni 2009-Jahr ist es oder so,
da Stuxnet wurde zuerst veröffentlicht, aber noch ein Jahr vor der verdeckten
Operation wird entdeckt und freigelegt werden. Wie Iran bereitet sich auf seine
Präsidentschaftswahlen, sind die Angreifer hinter Stuxnet auch der Vorbereitung
ihrer nächsten Angriff auf die Anreicherungsanlage mit einer neuen Version der
Malware. Sie entfesseln sie ebenso wie die Anreicherungsanlage beginnt, sich von
den Auswirkungen des vorangegangenen Angriff erholen.Die Waffe wird diese Zeit
zur Computersystemen von der deutschen Firma Siemens, die Steuerung und
Überwachung der Geschwindigkeit der Zentrifuge vorgenommen manipulieren. Weil
die Computer aus dem Internet air-gapped, können sie jedoch nicht direkt von den
Angreifern zu erreichen. Also die Angreifer haben ihre Waffe entwickelt, um über
infizierte USB-Sticks verbreiten. Um Stuxnet zu seiner Zielmaschinen zu
bekommen, die Angreifer zuerst infizieren Computern zu fünf Fremdfirmen, die
geglaubt werden, um in irgendeiner Weise mit dem Atomprogramm verbunden werden
gehört. Das Ziel ist es, jede "Patient Null" eine ahnungslose Träger, die helfen
wird, zu verbreiten und die Waffe auf Flash-Laufwerken zu transportieren in die
geschützte Anlage und den Siemens-Computern machen. Obwohl die fünf Unternehmen
wurden in früheren Nachrichten verwiesen worden , habe sie nie identifiziert
worden. Vier von ihnen sind in diesem Auszug identifiziert.
Das Vorfeld der 2009 Angriff
Die zwei Wochen vor der Veröffentlichung des nächsten
Angriff waren turbulente diejenigen im Iran. Am 12. Juni 2009 hat die
Präsidentschaftswahlen zwischen Amtsinhaber Mahmud Ahmadinedschad und
Herausforderer Mir-Hossein Mousavi nicht das entpuppen, was die meisten
erwartet. Das Rennen sollte in der Nähe sein, aber wenn die Ergebnisse wurden
nach den Umfragen kündigte-2 Stunden geschlossen-Ahmadinejad hatte mit 63
Prozent der Stimmen auf Mussawi 34 Prozent gewonnen. Die Wähler rief Foul, und
am nächsten Tag Massen von wütenden Demonstranten in den Straßen Teherans
gegossen, um ihre Empörung und Unglauben registrieren. Medienberichten zufolge
war es die größte zivile Protest hatte das Land gesehen, seit der Revolution von
1979 verdrängt den Schah und es dauerte nicht lange, bevor sie gewalttätig
geworden. Demonstranten verwüstet Läden und zündeten Tonnen Müll, während die
Polizei und Basidschis, staatlich loyalen Milizen in Zivil, versuchte, sie mit
Schlagstöcken, Elektrotreibern, und Kugeln zu zerstreuen.
An diesem Sonntag, gab Ahmadinejad eine trotzige
Siegesrede und erklärte eine neue Ära für den Iran und Abberufung der
Demonstranten als nichts anderes als Fußball-Hooligans durch den Verlust ihres
Teams sauer. Die Proteste fortgesetzt während der Woche, aber, und am 19. Juni
in einem Versuch, die Massen zu beruhigen, sanktioniert die Ayatollah Ali
Khamenei, die Wahlergebnisse und bestand darauf, dass die Höhe des Sieges-11
Millionen Stimmen-war zu groß, um durch erreicht worden Betrug. Die Massen
wurden jedoch nicht gestillt.
Der nächste Tag, ein sechsundzwanzig Jahre alte Frau
namens Neda Agha-Soltan wurde in einem Stau von Demonstranten verursacht
gefangen und wurde in die Brust durch die Kugel eines Scharfschützen erschossen,
nachdem sie und ihr Musiklehrer aus ihrem Wagen stieg, um zu beobachten .
Zwei Tage später, am 22. Juni einen Montag, der
Wächterrat, die Wahlen im Iran überwacht, offiziell erklärt Ahmadinedschad zum
Sieger, und nach fast zwei Wochen der Proteste wurde Teheran unheimlich
still. Die Polizei hatte Tränengas und scharfe Munition verwendet, um die
Demonstranten zu zerstreuen, und die meisten von ihnen wurden jetzt von den
Straßen verschwunden. An diesem Nachmittag bei rund 04.30 Ortszeit, als Iraner
säugte ihren Schock und Trauer über Ereignisse der vergangenen Tage, eine neue
Version von Stuxnet wurde zusammengestellt und entfesselt.
Wiederherstellung von früheren Angriff
Während die Straßen Teherans war in Aufruhr gewesen,
hatte Technikern in Natanz wurde in einer Phase der relativen Ruhe. Rund um den
ersten Tag des Jahres, sie begonnen hatten Installation neuer Zentrifugen
wieder, und bis Ende Februar hatten sie etwa 5400 von ihnen an Ort und Stelle,
in der Nähe des 6000, dass Ahmadinedschad hatte im Vorjahr versprochen. Nicht
alle der Zentrifugen wurden Urananreicherung noch nicht, aber zumindest gab es
wieder eine Vorwärtsbewegung, und im Juni die Zahl auf 7052 gesprungen war, mit
4092 dieser Anreicherungsgas. Zusätzlich zu den achtzehn Kaskaden
Anreicherungsgas in Einheit A24, gibt es nun zwölf Kaskaden A26
Anreicherungsgas. Sieben weitere Kaskaden hatte sogar in A28 installiert und
wurden unter Vakuum, in Vorbereitung, um Gas zu erhalten.
Der iranische Präsident Mahmud Ahmadinedschad bei
einem Rundgang durch Zentrifugen in Natanz im Jahr 2008. Amt der
Präsidentschaft der Islamischen Republik Iran
Die Leistung der Zentrifugen war zu verbessern. Irans
tägliche Produktion von schwach angereichertem Uran um 20 Prozent und würde den
ganzen Sommer des Jahres 2009. Trotz der bisherigen Probleme konsistent bleiben,
hatte der Iran einen technischen Meilenstein überschritten und war in der
Herstellung von 839 Kilogramm niedrig angereichertes Uran-genug, um Kern
erreichen gelungen -Waffen Breakout-Fähigkeit. Wenn es in diesem Tempo weiter,
würde der Iran genug angereichertes Uran, um zwei Atomwaffen innerhalb eines
Jahres zu machen. Diese Schätzung wurde jedoch von der Kapazität der
IR-1-Zentrifugen derzeit Natanz installiert basieren. Aber der Iran bereits
IR-2-Zentrifugen in einer kleinen Kaskade in der Pilotanlage installiert, und
sobald der Test auf diese abgeschlossen war und Techniker begann sie zu
installieren in der unterirdischen Halle, würde die Schätzung revidiert werden
müssen. Die fortgeschritteneren IR-2-Zentrifugen waren effizienter. Es dauerte
3000 IR-1s, genug Uran für eine Atomwaffe in einem Jahr produzieren, aber es
wäre nur 1.200 IR-2-Zentrifugen zu ergreifen, um das gleiche zu tun.
Cue Stuxnet 1.001, die bis Ende Juni zeigte.
Die nächsten Angriff
Um ihre Waffe in die Anlage zu bekommen, startete die
Angreifer eine Offensive gegen Computer, die von vier Firmen. Alle Unternehmen
wurden in der industriellen Steuerungs- und Verarbeitungs irgendeiner Art, weder
die Herstellung von Produkten und Montage von Bauteilen oder die Installation
von industriellen Steuerungssystemen beteiligt. Sie wurden alle wahrscheinlich
gewählt, weil sie hatte etwas den Anschluss an Natanz als Auftragnehmer und ein
Tor, durch das zu Stuxnet auf Natanz durch infizierte Mitarbeiter weiterzugeben.
Zu mehr Erfolg auf immer den Code, wo es gebraucht zu
gehen sicherzustellen, diese Version von Stuxnet hatte zwei weitere
Möglichkeiten, um zu verbreiten, als die vorherige. Stuxnet 0.5 nur durch
Infektion Step 7 Projekt-Dateien-der zur Siemens SPS-Programmdateien verbreiten
könnte. Diese Version konnte jedoch über USB-Flash-Laufwerke mit der
Windows-Autorun-Funktion oder über lokale Netzwerk des Opfers über die
Druck-Spooler Zero-Day-Exploit, der von Kaspersky Lab, die Antivirus-Firma mit
Sitz in Russland, und Symantec später im Code gefunden zu verbreiten.
Basierend auf den Log-Dateien in Stuxnet, eine Firma
namens Foolad Technic war das erste Opfer. Es wurde am 04.40 am 23. Juni
infiziert, ein Dienstag. Aber dann war es fast eine Woche vor dem nächsten Firma
wurde getroffen.
Am folgenden Montag, ging etwa fünftausend
Demonstranten schweigend durch die Straßen von Teheran nach dem Qoba Moschee für
die Opfer während der jüngsten Wahlprotesten getötet zu ehren. Spät am Abend,
rund 11.20, schlug Stuxnet Maschinen in ihre zweite Opfer einer Firma namens
Behpajooh gehören.
Es war leicht zu sehen, warum Behpajooh war ein
Ziel. Es war ein Ingenieurbüro in Esfahan-Website neuer Uranumwandlungsanlage
Irans basierte, integrierte gefräst Uranerz in Gas zur Anreicherung in Natanz
drehen, und war auch die Lage der iranischen Nukleartechnologie-Center, das
geglaubt wurde, um die Basis für sein Atomprogramm des Iran. Behpajooh hatte
auch in der US-Bundesgericht Dokumente im Zusammenhang mit illegaler
Beschaffungstätigkeiten Irans benannt worden.
Behpajooh war in das Geschäft der Installation und
Programmierung industrieller Steuerungs- und Automatisierungssystemen,
einschließlich Siemens-Systeme. Die Website des Unternehmens nicht erwähnt
Natanz, aber es hat zu erwähnen, dass die Firma Siemens S7-400 SPS, sowie die
Step 7 und WinCC-Software und Profibus-Kommunikationsmodule in einem Stahlwerk
in Isfahan installiert hatte. Dies war natürlich alle die gleiche Ausrüstung
Stuxnet Natanz richtet.
Um 5:00 Uhr am 7. Juli neun Tage nach Behpajooh
getroffen wurde, schlug Stuxnet Computern Neda Industrial Group, sowie eine
Firma in den Protokollen nur als CGJ identifiziert, geglaubt, um Steuer Gostar
Jahed sein. Beide Unternehmen entwickelt oder installiert industrielle
Steuerungssysteme.
Der iranische Präsident Mahmud Ahmadinedschad
beobachtet Computermonitoren an der Natanz Urananreicherungsanlage in
Zentraliran, wo Stuxnet wurde angenommen, dass PCs infiziert haben und
beschädigte Zentrifugen. Amt der Präsidentschaft der Islamischen Republik Iran
Neda entworfen und installiert Kontrollsysteme,
Präzisionsinstrumenten und elektrischen Anlagen für die Öl- und Gasindustrie in
Iran sowie für Kraftwerke und Bergbau und Prozessanlagen. In 2000 und 2001
Siemens S7-Steuerungen im Iran das Unternehmen installiert hatte in mehreren
Gas-Pipeline-Operationen und hatte auch Siemens S7-Systemen installiert am
Esfahan Stahl Complex. Wie Behpajooh hatte Neda auf einer Proliferation
Merkliste wegen ihrer angeblichen Beteiligung an illegalen Beschaffung Aktivität
identifiziert worden und wurde in einer US-Anklageschrift zur Aufnahme
geschmuggelt Mikrocontrollern und anderen Komponenten benannt.
Ungefähr zwei Wochen, nachdem sie geschlagen Neda,
eine Steuer Ingenieur, arbeitete für das Unternehmen tauchte auf einem
Siemens-Anwenderforum am 22. Juli beschwerte sich über ein Problem, das
Arbeitnehmer in seinem Unternehmen hatten mit ihren Maschinen. Der Ingenieur,
der eine Notiz unter dem Benutzernamen Behrooz geschrieben, darauf hin, dass
alle PCs in seiner Firma wurden mit einem identischen Problem mit einem Siemens
Step 7 DLL-Datei, die ein Fehlermeldung gehalten. Er vermutete, das Problem war
ein Virus, das über Flash-Laufwerke zu verbreiten.
Als er verwendet eine DVD oder CD, um Dateien von
einem infizierten System eine saubere Übertragung, alles war in Ordnung, schrieb
er. Aber wenn er verwendet ein Flash-Laufwerk, um Dateien zu übertragen, begann
der neue PC mit den gleichen Problemen die andere Maschine hatte. Ein USB-Stick,
war natürlich Stuxnet primäre Methode zur Verbreitung. Obwohl Behrooz und seine
Kollegen auf Viren überprüft, fanden sie keine Malware auf ihren Maschinen. Es
gab kein Zeichen in der Diskussion, dass sie überhaupt das Problem behoben zu
der Zeit.
Es ist nicht klar, wie lange es gedauert hat Stuxnet
sein Ziel nach Infektion Automaten an Neda und den anderen Unternehmen zu
erreichen, aber zwischen Juni und August die Zahl der Zentrifugen
Urananreicherung Gas in Natanz begann zu sinken. Ob dies das Ergebnis allein von
der neuen Version von Stuxnet oder die Nachwirkungen der Vorgängerversion ist
nicht bekannt. Aber im August desselben Jahres wurden nur 4592 Zentrifugen in
der Anlage, ein Rückgang von 328 Zentrifugen seit Juni bereichern. Bis November,
wird diese Zahl hatte noch weiter auf 3936 eine Differenz von 984 in fünf
Monaten gesunken. Was mehr ist, obwohl neue Maschinen noch installiert wurden,
keiner von ihnen ist Gas zugeführt.
Offenbar gab es Probleme mit den Kaskaden und
Techniker hatte keine Ahnung, was sie waren. Die Veränderungen genau kartiert
jedoch, was Stuxnet wurde entworfen, um zu tun.
Nachdruck aus Stuxnet und die Markteinführung der
weltweit erste digitale Waffe: Countdown to Zero Day Copyright © 2014 von Kim
Zetter. Veröffentlicht von Crown Publishers, ein Abdruck von Random House LLC.
http://www.wired.com/2014/11/countdown-to-zero-day-stuxnet/