Cyberwar - Erstschlag ist erfolgt

Der Angriff des Stuxnet-Wurms auf die iranische Atomanlage in Natans war noch raffinierter eingefädelt als bislang bekannt. Israel hat laut "New York Times" Irans Zentrifugen eigens nachgebaut, um die Schadsoftware dafür zu optimieren. Die Sabotageaktion gilt inzwischen als großer Erfolg.

Der Stuxnet-Nachfolger Duqu scheint den nächsten derartigen Angriff vorzubereiten. Duqu sucht nach Insider-Informationen zu Steuerungssystemen von Industrieanlagen, berichtet Symantec.

Mysteriöse Quellen

Woher Symantec die Duqu-Dateien erhalten hat, verschweigen die Autoren der Analyse. Am 14. Oktober habe ein Forschungslabor mit "vielen internationalen Verbindungen" Symantec auf den neuen Trojaner hingewiesen und Dateien zur Analyse eingeschickt. Diese Daten sollen von Rechnern in Europa stammen.

Die mysteriöse Forschungsinstitution habe Symantec auch eine eigene, 46-seitige Analyse des Schädlings übermittelt - die Autoren bezeichnen sich als Forscher, die Schadsoftware analysieren. Am 17. Oktober habe eine weitere Organisation aus Europa andere Duqu-Varianten an Symantec gesendet.

Die Symantec-Forscher bezeichnen Duqu auf Basis ihrer Analyse als Wegbereiter eines neuen Angriffs im Stuxnet-Stil. Als Belege für diese These führen die Autoren diese Details auf:

Die Schöpfer von Duqu hatten offenbar Zugriff auf den Quellcode des Schädlings Stuxnet.
&
Die Software habe keine Funktion zur autonomen Weiterverbreitung gehabt. Sie sei stattdessen sehr zielgerichtet eingesetzt worden - in Rechnersystemen, wo "Hintergrundinformationen" zum Aufbau von Kontrollsystemen in Industrieanlagen zu finden sind.

Den Symantec-Forschern zufolge unterscheidet sich Duqu signifikant von Stuxnet, weil er kein Wurm ist und sich nicht selbst replizieren kann. Man könnte ihn als Aufklärungsdrohne bezeichnen, deren Zweck es ist, möglichst viele Informationen über potentielle Angriffsziele zu sammeln, heißt es.

Sanger zufolge dagegen waren Sabotageversuche der CIA gegen Irans Atomprogramm zunächst weitgehend erfolglos geblieben, doch dann hätten US-Fachleute dann eine Software namens "Beacon" (Leuchtfeuer) entwickelt, die das Computersystem der Anlage Natans kartieren und die Ergebnisse zurück in die USA senden sollte. Das sei auch gelungen - der "NYT" ist allerdings nicht zu entnehmen, wie Beacon nach Natans hineingelangte und seine Beute aus der nicht mit dem Internet verbundenen Anlage hinausschleuste.

Auf Basis der so gewonnenen Erkenntnisse hätte daraufhin der US-Geheimdienst NSA gemeinsam mit einer geheimen israelischen Einheit begonnen, den hochkomplexen Stuxnet-Virus zu entwickeln. Eine israelische Militäreinheit namens 8200 sei aus zwei Gründen einbezogen worden: Einerseits besaß Israel technische Expertise und intime Kenntnisse der Anlage in Natans, andererseits ging es um Diplomatie. "Mehrere Beamte" hätten ihm erklärt, man habe Israel mit der engen Einbindung auch von einem konventionellen Angriff auf Iran abhalten wollen, schreibt Sanger.

Die ersten Versionen des Computerwurms seien anschließend an baugleichen Uranzentrifugen wie den in Natans eingesetzten getestet worden, unter strengster Geheimhaltung und mit wachsendem Erfolg. Sanger: "Eines Tages gegen Ende der Amtszeit von Mr. Bush wurden die Überreste einer Zentrifuge auf dem Konferenztisch im Situation Room [im weißen Haus] ausgebreitet, um die potentielle Macht einer Cyberwaffe zu belegen." Man habe entschieden, den Wurm nun auf Natans loszulassen.

In die Anlage, die nicht mit dem Internet verbunden ist, gelangten die ersten Virus-Versionen Sanger zufolge über USB-Sticks, später seien auch andere, nicht näher benannte Methoden zum Einsatz gekommen. "Es zeigte sich, dass es immer einen Idioten gibt, der nicht allzu viel über den Speicherstick in seiner Hand nachdenkt", zitiert der Journalist einen ungenannten Insider.

Der komplizierte Code sorgte schließlich dafür, dass Uranzentrifugen plötzlich ihre Rotationsgeschwindigkeit änderten, was die empfindlichen Geräte zerstörte. Die Iraner seien von den Schäden überrascht und völlig verwirrt gewesen, nicht zuletzt deshalb, weil Stuxnet sein eigenes Wirken effektiv verschleierte. Wie schon seit einiger Zeit bekannt ist, schickte der Virus gefälschte "Alles in Ordnung"-Signale an die Steuerungszentrale der Anlage. "Wir wollten, dass sie sich dumm vorkommen, und das ist gelungen", zitiert Sanger eine ungenannte Quelle.

Viel Zerstörung wurde mit diesen ersten Stuxnet-Varianten Sanger zufolge aber noch nicht erreicht. Bei der Amtsübergabe habe George W. Bush Obama gedrängt, "zwei geheime Programme weiterzuführen", so Sanger, "'Olympic Games' und das Drohnenprogramm in Pakistan". Obama sei Bushs Rat gefolgt.

In den folgenden Monaten war Stuxnet in mehreren Varianten immer erfolgreicher. Im Sommer 2010 aber passierte ein fatales Missgeschick: Der Wurm entkam aus der Anlage in Natans und verbreitete sich auf anderen Rechnern. Ein Ingenieur habe sich die Software aufgrund eines Programmierfehlers auf seinem Computer eingefangen, als der mit den Zentrifugen verbunden gewesen sei. Als dieser Rechner später ans Internet angeschlossen worden sei, sei Stuxnet in die freie Wildbahn entkommen und habe sich dort autonom weiterverbreitet.

Das hatte zur Folge, dass ihn schließlich Hersteller von Antivirensoftware entdeckten - Amerikas erfolgreiche Cyberwaffe war nun öffentlich. "Sollen wir diese Sache stoppen?", habe Obama im Situation Room gefragt, berichtet Sanger. Schließlich habe man entschieden, trotz allem weiterzumachen. Nach der Entdeckung sei Natans noch von zwei weiteren Stuxnet-Versionen befallen worden, mit großem Erfolg: "Ein paar Wochen, nachdem Stuxnet rund um den Globus aufgespürt worden war, machte diese letzte Serie von Angriffen etwa 1000 der 5000 Zentrifugen vorübergehend unbrauchbar", schreibt Sanger.

Der eben erst entdeckte, offenbar ebenfalls im Nahen Osten aktive Spionagevirus Flame sei jedoch nicht Teil des "Olympic Games"-Programms, zitiert Sanger ungenannte Beamte. Ob er jedoch amerikanischer Herkunft sei, wollte ihm niemand mitteilen. Israel hat gerade erst dementiert, für Flame verantwortlich zu sein - nachdem der Vizepremier Mosche Jaalon am Mittwoch mit lobenden Äußerungen den Verdacht genährt hatte, Israel sei der Urheber.

Bleibt die Frage, warum all die Insider überhaupt mit Sanger sprachen. Eine Antwort findet man auf dem Cover des Buches. Darauf ist ein nachdenklich, aber entschlossen voranschreitender US-Präsident abgebildet. Nach der Tötung Osama bin Ladens soll der digitale Erstschlag gegen Iran offenbar zum zweiten kriegerischen Erfolg der ersten Amtszeit Obamas erklärt werden. Bessere Wahlkampfhilfe hätte der US-Präsident sich kaum wünschen können.

Interessant ist die Enthüllung auch vor dem Hintergrund einer als "Obama-Doktrin" im vergangenen Jahr neu formulierten Haltung der USA gegenüber Cyberattacken: Seit dem Frühjahr 2011 ist Amerika bereit, Angriffe mit Softwarecode als kriegerischen Akt zu werten und im Zweifel auch mit konventionellen Waffen zu beantworten. Setzt ein Land Viren, Würmer und Trojaner in Bewegung, riskiert es eine Vergeltung durch Kampfjets, Panzer und Bodentruppen. "Wer die Stromnetze unseres Landes sabotiert, muss mit Raketen im Schornstein rechnen", sagte ein Pentagon-Sprecher damals. Wenn Iran die gleichen Maßstäbe anlegt wie die USA, dann kann es Stuxnet als Kriegserklärung durch die USA und Israel werten.

[On 15 August], at 11:08, a person with privileged access to the Saudi state-owned oil company’s computers, unleashed a computer virus to initiate what is regarded as among the most destructive acts of computer sabotage on a company to date. The virus erased data on three-quarters of Aramco’s corporate PCs — documents, spreadsheets, e-mails, files — replacing all of it with an image of a burning American flag....

Immediately after the attack, Aramco was forced to shut down the company’s internal corporate network, disabling employees’ e-mail and Internet access, to stop the virus from spreading.

It could have been much worse. An examination of the sabotage revealed why government officials and computer experts found the attack disturbing. Aramco’s oil production operations are segregated from the company’s internal communications network. Once executives were assured that only the internal communications network had been hit and that not a drop of oil had been spilled, they set to work replacing the hard drives of tens of thousands of its PCs and tracking down the parties responsible, according to two people close to the investigation but who were not authorized to speak publicly about it.

Aramco flew in roughly a dozen American computer security experts. By the time those specialists arrived, they already had a good handle on the virus.

.......

Die renommierte US-Zeitung «New York Times» ist nach eigenen Angaben von Hackern angegriffen worden, die möglicherweise in Verbindung mit dem chinesischen Militär stehen. Entsprechende klare Hinweise Richtung Peking hätten mit der «Reinigung» des internen Datensystems beauftragte Netzwerkexperten entdeckt, erklärte die Zeitung.

Die Hacker konzentrierten sich den Angaben zufolge auf den Shanghaier «NYT»-Bürochef David Barboza. Dieser hatte in der Zeitung im Oktober über den immensen Reichtum der Familie des chinesischen Regierungschef Wen Jiabao berichtet. «Chinesische Hacker, die Methoden nutzten, die in der Vergangenheit mit dem chinesischen Militär in Verbindung gebracht wurden, sind in das Times-Netzwerk eingebrochen», erklärte die Zeitung.

Nach Ansicht von IT-Experten seien die Angriffe von den selben Universitätscomputern ausgegangen, von dem aus chinesische Militärs in der Vergangenheit Rüstungsfirmen in den USA angegriffen hätten. Die Hacker hätten in den vergangenen vier Monaten unter anderem Passwörter von Journalisten abgegriffen. Dabei hätten die Hacker offenbar nur nach Informationen im Zusammenhang mit dem Wen-Bericht gesucht.

Die chinesische Regierung wies die Vorwürfe zurück. Die Anschuldigungen der «NYT» seien «haltlos», sagte Aussenamtssprecher Hong Lei am Donnerstag in Peking. «Ohne harte Beweise zu sagen, dass China an derartigen Hackerangriffen teilnimmt, ist völlig verantwortungslos.» Ähnlich äusserte sich das Verteidigungsministerium, das unterstrich: «Das Militär hat niemals irgendwelche Hackerangriffe unterstützt.»

Apple und Jeep von Hackern angegriffen

Die Liste wird immer länger: Facebook, Burger King, «New York Times» und jetzt auch noch Jeep und Apple. Sie alle wurden Ziel einer Cyberattacke. Sind nur Witzbolde am Werk oder steckt mehr dahinter?

Die Militäreinheit «61398» mit Sitz in Shanghai habe «ununterbrochen» Angriffe auf viele Industriezweige verübt, erklärte das auf Computersicherheit spezialisierte Unternehmen Mandiant in einem Bericht. «Es ist Zeit anzuerkennen, dass die Gefahr ihren Ursprung in China hat.»

Nach Angriffen auf die «New York Times» und das «Wall Street Journal» war zuletzt auch Facebook Ziel von Computerhackern. Beide Zeitungen gingen von Cyber-Attacken aus China aus. Auch beim Angriff auf das Online-Netzwerk hatten Experten chinesische Hacker im Verdacht.

Das chinesische Aussenministerium zweifelte die im Bericht aufgeführten Belege an und betonte, Chinas Regierung lehne Cyber-Attacken ab. Die Volksrepublik sei selber Ziel von US-Hackern geworden.

USA legen neue Strategie gegen Cyberangriffe fest

Die USA möchten die Industriespionage aus anderen Ländern nicht mehr länger dulden. Nach der Veröffentlichung eines Untersuchungsberichts prüft die Regierung Sanktionen gegen China und zwei andere Länder.