Symantec findet Stuxnet-Vorläufer

SicherheitSicherheitsmanagement

Schon 2005 sei der für Industrieanlagen gefährliche Wurm in einer Vorversion aktiv gewesen, berichtet Symantec. Bekannt wurde der Schädling erst einige Jahre später. Version 0.5 habe aber schon vorher “im Kleinen” die iranischen Atomanlagen angegriffen.

Auf der am Freitag zu Ende gegangenen RSA-Sicherheitskonferenz berichteten Symantec-Sicherheitsforscher über die Aufdeckung einer frühen Variante der Malware für Industrieanlagen. Offenbar haben US-Behörden schon sehr früh mit ihrer Sabotage-Arbeit begonnen, erklärt Symantec in einem Whitepaper (PDF).

Stuxnet bahnte sich erst 2009 und 2010 den Weg in die Öffentlichkeit, ist aber nicht die erste Version des Schadprogramms. Symantec spricht nun von einem “Stuxnet 0.5”. Das Programm habe 2007 seinen Weg in die Uran-Anreicherungsanlagen des Irans gefunden habe und auf einer Entwicklung aus dem Jahre 2005 beruhe. Im Whitepaper werden die verschiedenen Stuxnet-Varianten von 2005 bis 2012 unter die Lupe genommen – über die Verantwortlichen aus dem eigenen Land schweigt sich das Unternehmen aus.

In einem Blogeintrag erklärt Symantec, welche Angriffsstrategien schon in Version 0.5 eingesetzt wurden, bevor der Schädling weiterentwickelt wurde und sich daraus auch Ableger wie Duqu und Flame ergeben hatten (mehr dazu in der kurzen Geschichte der Computerviren bei ITespresso).

stuxnet-funktion
Der Stuxnet-Wurm nutzte eine perfide Stratgie, um die Industrieanlagen in Natanz zu stören – schon seit 2005. Symantec hat die verschiedenen Phasen des Angriffs dokumentiert (Bild: Symantec).

Schon früh habe man damit experimentiert, die Siemens-Steuerungsanlagen in Natanz zu beeinflussen. Dass noch weitere Varianten der Cyberwaffe unterwegs sind, halten die Symantec-Forscher für sehr wahrscheinlich; sie reden inzwischen sogar von “weaponized Malware”.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen