Die Zukunft der Kriegsführung hat vielleicht gerade erst begonnen, aber sie wurde nicht durch eine Explosion angekündigt, sondern begann ohne einen einzigen Ton oder einen einzigen Verlust.
Es ist das erste seiner Art und könnte ein Signal dafür sein, wie von nun an alle Kriege geführt werden. Es handelt sich um eine Cyberwaffe, die so präzise ist, dass sie ein Ziel effektiver zerstören kann als ein herkömmlicher Sprengstoff und sich dann einfach selbst vernichtet, sodass die Opfer sich selbst die Schuld geben müssen. Es ist eine Waffe, die so schrecklich ist, dass sie möglicherweise mehr anrichten könnte, als nur physische Objekte zu beschädigen, sie könnte Ideen töten. Es handelt sich um den Stuxnet-Wurm, der von vielen als weltweit erste echte Cyberkriegswaffe bezeichnet wird und dessen erstes Ziel der Iran war.
Empfohlene Videos
Der Beginn der Cyberkriegsführung
Stuxnet ist fast wie etwas aus einem Roman von Tom Clancy. Anstatt Raketen zu schicken, um ein Atomkraftwerk zu zerstören, das die gesamte Region und die Welt bedroht und von einem Präsidenten überwacht wird, der dies behauptet Wenn er möchte, dass eine ganze Rasse von Menschen „von der Landkarte getilgt“ wird, kann ein einfacher Computervirus eingeführt werden, der die Aufgabe weitaus besser erfüllt effektiv. Der Angriff auf ein Bauwerk mit Raketen kann zum Krieg führen, und außerdem können Gebäude wieder aufgebaut werden. Aber ein System so vollständig zu infizieren, dass die Menschen, die es nutzen, anfangen, an ihrem Vertrauen in ihre eigenen Fähigkeiten zu zweifeln, wird auf lange Sicht weitaus verheerendere Auswirkungen haben.
In einem seltenen Moment der Offenheit seitens des Iran hat die Nation dies getan bestätigt dass die ursprünglich im Juli entdeckte Stuxnet-Malware (der Name leitet sich von im Code verborgenen Schlüsselwörtern ab) den nuklearen Ambitionen des Landes geschadet hat. Obwohl der Iran den Vorfall herunterspielt, gibt es einige Berichte deuten darauf hin, dass der Wurm so effektiv war, dass er das iranische Atomprogramm möglicherweise um mehrere Jahre zurückgeworfen hat.
Anstatt einfach ein System zu infizieren und alles zu zerstören, was es berührt, ist Stuxnet weitaus ausgefeilter und auch weitaus effektiver.
Der Wurm ist intelligent und anpassungsfähig. Wenn es in ein neues System gelangt, bleibt es inaktiv und lernt das Sicherheitssystem des Computers. Sobald es ohne Alarmierung agieren kann, sucht es nach ganz bestimmten Zielen und beginnt mit dem Angriff auf bestimmte Systeme. Anstatt seine Ziele einfach zu zerstören, tut es etwas weitaus Effektiveres: Es führt sie in die Irre.
In einem nuklearen Anreicherungsprogramm ist eine Zentrifuge ein grundlegendes Werkzeug, das zur Raffinierung des Urans benötigt wird. Jede gebaute Zentrifuge folgt der gleichen grundlegenden Mechanik, aber der deutsche Hersteller Siemens bietet das, was viele für das Beste der Branche halten. Stuxnet suchte die Siemens-Steuerungen auf und übernahm die Kontrolle über die Art und Weise, wie sich die Zentrifuge dreht. Aber anstatt die Maschinen einfach so lange zu drehen, bis sie sich selbst zerstörten – wozu der Wurm mehr als fähig war –, nahm Stuxnet subtile und weitaus hinterhältigere Änderungen an den Maschinen vor.
Wenn eine Uranprobe zur Veredelung in eine mit Stuxnet infizierte Zentrifuge gegeben wurde, befahl der Virus der Maschine, sich schneller zu drehen, als sie vorgesehen war, und dann plötzlich anzuhalten. Das Ergebnis waren Tausende von Maschinen, die Jahre früher als geplant verschlissen waren, und, was noch wichtiger war, zerstörte Proben. Der eigentliche Trick des Virus bestand jedoch darin, dass er, während er die Maschinerie sabotierte, die Messwerte verfälschte und den Eindruck erweckte, dass alles innerhalb der erwarteten Parameter liefe.
Nach Monaten begannen sich die Zentrifugen abzunutzen und zu brechen, aber die Messwerte blieben unverändert schien innerhalb der Norm zu liegen, begannen die mit dem Projekt verbundenen Wissenschaftler zu zweifeln sich. Iranische Sicherheitskräfte begannen, die Ausfälle zu untersuchen, und das Personal der Nuklearanlagen lebte in einer Wolke aus Angst und Misstrauen. Das ging über ein Jahr so. Wenn es dem Virus gelungen wäre, einer Entdeckung vollständig zu entgehen, hätte es sich schließlich selbst vollständig gelöscht und die Iraner hätten sich gefragt, was sie falsch gemacht hätten.
17 Monate lang gelang es dem Virus, sich unbemerkt in die iranischen Systeme einzuschleichen, wobei es langsam lebenswichtige Proben zerstörte und notwendige Ausrüstung beschädigte. Vielleicht größer als der Schaden an der Maschinerie und den Proben war das Chaos, in das das Programm gestürzt wurde.
Einen Teil des Schadens geben die Iraner widerwillig zu
Der iranische Präsident Mahmud Ahmadinedschad hat behauptet dass Stuxnet „es geschafft hat, einer begrenzten Anzahl unserer Zentrifugen Probleme zu bereiten“, was eine Abwechslung darstellt Irans frühere Behauptung, der Wurm habe 30.000 Computer infiziert, das Atomkraftwerk jedoch nicht beeinträchtigt Einrichtungen. Einige Berichte vorschlagen In der Natanz-Anlage, in der die iranischen Anreicherungsprogramme untergebracht sind, sind 5.084 von 8.856 Zentrifugen im iranischen Atomkraftwerk im Einsatz Anlagen wurden, möglicherweise aufgrund von Schäden, vom Netz genommen, und die Anlage musste aufgrund der Auswirkungen mindestens zweimal stillgelegt werden Virus.
Stuxnet zielte auch auf die in Russland hergestellte Dampfturbine ab, die die Anlage in Bushehr antreibt, aber es scheint, dass das Virus entdeckt wurde, bevor wirklicher Schaden angerichtet werden konnte. Wäre das Virus nicht entdeckt worden, hätte es die Turbinen letztendlich auf zu hohe Drehzahlen gebracht und das gesamte Kraftwerk irreparabel geschädigt. Auch Temperatur- und Kühlsysteme wurden als Ziele identifiziert, die Auswirkungen des Wurms auf diese Systeme sind jedoch unklar.
Die Entdeckung des Wurms
Im Juni dieses Jahres entdeckte der in Weißrussland ansässige Antivirenspezialist VirusBlokAda ein bisher unbekanntes Schadprogramm auf dem Computer eines iranischen Kunden. Nach einer Recherche stellte das Antivirenunternehmen fest, dass es speziell für Siemens SCADA entwickelt wurde (Überwachungs-, Kontroll- und Datenerfassungs-)Managementsysteme, bei denen es sich um Geräte handelt, die in großem Maßstab eingesetzt werden Herstellung. Der erste Hinweis darauf, dass an diesem Wurm etwas anders war, war, dass nach Auslösen der Warnung jeder Das Unternehmen, das versuchte, die Warnung weiterzugeben, wurde anschließend angegriffen und musste für mindestens 24 Stunden schließen Std. Die Methoden und Gründe der Angriffe sind immer noch ein Rätsel.
Nachdem der Virus entdeckt worden war, begannen auch Unternehmen wie Symantec und Kaspersky, zwei der größten Antiviren-Unternehmen der Welt Mehrere Geheimdienste begannen, Stuxnet zu recherchieren und fanden Ergebnisse, die schnell klar machten, dass es sich hierbei nicht um gewöhnliche Schadsoftware handelte.
Bis Ende September hatte Symantec herausgefunden, dass sich fast 60 Prozent aller weltweit infizierten Maschinen im Iran befanden. Nachdem dies entdeckt worden war, wurde immer offensichtlicher, dass der Virus nicht entwickelt wurde einfach, um Probleme zu verursachen, wie es bei vielen Malware-Teilen der Fall ist, aber sie hatte einen ganz bestimmten Zweck und einen Ziel. Auch der Grad der Ausgereiftheit übertraf alles bisher Dagewesene und veranlasste Ralph Langner, den Computersicherheitsexperten, der den Virus als Erster entdeckte, dazu erklären dass es „wie die Ankunft einer F-35 auf einem Schlachtfeld des Ersten Weltkriegs“ war.
Wie es funktionierte
Stuxnet zielt speziell auf Windows 7-Betriebssysteme ab, bei denen es sich nicht zufällig um dasselbe Betriebssystem handelt, das im iranischen Atomkraftwerk verwendet wird. Der Wurm nutzt vier Zero-Day-Angriffe und zielt gezielt auf die SCADA-Software WinCC/PCS 7 von Siemens ab. Eine Zero-Day-Bedrohung ist eine Schwachstelle, die entweder unbekannt ist oder vom Hersteller nicht angekündigt wurde. Hierbei handelt es sich im Allgemeinen um systemkritische Schwachstellen, die sofort behoben werden, sobald sie entdeckt werden. In diesem Fall waren die beiden Zero-Day-Elemente entdeckt worden und standen kurz vor der Veröffentlichung eines Fixes, aber zwei weitere waren noch nie von irgendjemandem entdeckt worden. Sobald der Wurm im System war, begann er, andere Systeme im lokalen Netzwerk, auf das er abzielte, auszunutzen.
Als sich Stuxnet durch die iranischen Systeme arbeitete, wurde es durch die Sicherheit des Systems aufgefordert, ein legitimes Zertifikat vorzulegen. Anschließend präsentierte die Schadsoftware zwei authentische Zertifikate, eines vom Schaltungshersteller JMicron und das andere vom Computerhardwarehersteller Realtek. Beide Unternehmen haben ihren Sitz in Taiwan, nur wenige Blocks voneinander entfernt, und es wurde bestätigt, dass beide Zertifikate gestohlen wurden. Diese authentischen Zertifikate sind einer der Gründe dafür, dass der Wurm so lange unentdeckt bleiben konnte.
Die Malware verfügte außerdem über die Fähigkeit, über Peer-to-Peer-Sharing zu kommunizieren, wenn eine Internetverbindung vorhanden war, was es ihr ermöglichte, bei Bedarf ein Upgrade durchzuführen und ihren Fortschritt zu melden. Die Server, mit denen Stuxnet kommunizierte, befanden sich in Dänemark und Malaysia, und beide wurden abgeschaltet, nachdem bestätigt wurde, dass der Wurm in die Anlage in Natanz eingedrungen war.
Als sich Stuxnet in den iranischen Systemen auszubreiten begann, zielte es nur noch auf die „Frequenzumrichter“ ab, die für Zentrifugen verantwortlich waren. Mithilfe von Antrieben mit variabler Frequenz als Marker suchte der Wurm gezielt nach Antrieben von zwei Anbietern: Vacon mit Sitz in Finnland und Fararo Paya mit Sitz im Iran. Es überwacht dann die angegebenen Frequenzen und greift nur an, wenn ein System zwischen 807 Hz und 1210 Hz läuft, was eher selten vorkommt Häufigkeit, die erklärt, wie der Wurm trotz seiner weltweiten Ausbreitung gezielt auf iranische Atomkraftwerke abzielen konnte. Stuxnet macht sich dann daran, die Ausgangsfrequenz zu verändern, was sich auf die angeschlossenen Motoren auswirkt. Obwohl mindestens 15 weitere Siemens-Systeme eine Infektion gemeldet haben, wurde keines durch den Wurm beschädigt.
Um zunächst die Nuklearanlage zu erreichen, musste der Wurm in das System eingebracht werden, möglicherweise auf einem USB-Stick. Der Iran nutzt ein „Air Gap“-Sicherheitssystem, was bedeutet, dass die Anlage keine Verbindung zum Internet hat. Dies könnte erklären, warum sich der Wurm bisher verbreitet hat, da die einzige Möglichkeit für ihn, das System zu infizieren, darin besteht, ein weites Gebiet anzugreifen und als Virus zu agieren Trojaner, während er darauf wartet, dass ein iranischer Nuklearmitarbeiter eine infizierte Datei außerhalb der Anlage erhält und sie physisch in die Anlage bringt Anlage. Aus diesem Grund wird es nahezu unmöglich sein, genau zu wissen, wo und wann die Infektion begann, da sie möglicherweise von mehreren ahnungslosen Mitarbeitern eingeschleppt wurde.
Aber woher kam es und wer hat es entwickelt?
Der Verdacht, woher der Wurm stammt, ist weit verbreitet, und der wahrscheinlichste Einzelverdächtige ist Israel. Nach gründlicher Erforschung des Virus hat Kaspersky Labs angekündigt dass das Ausmaß des Angriffs und die Raffinesse, mit der er ausgeführt wurde, nur „mit Unterstützung des Nationalstaats“ hätte durchgeführt werden können, was private Hacker ausschließt Gruppen oder sogar größere Gruppen, die Hacking als Mittel zum Zweck nutzen, wie etwa die russische Mafia, die im Verdacht steht, einen Trojaner-Wurm entwickelt zu haben rüber stehlen 1 Million Dollar von einer britischen Bank.
Israel gibt voll und ganz zu, dass es Cyberkrieg als eine Säule seiner Verteidigungsdoktrin betrachtet, und die als Einheit 8200 bekannte Gruppe Die wahrscheinlichste Gruppe wären israelische Streitkräfte, die als ungefähres Äquivalent der US-amerikanischen NSA gelten verantwortlich.
Einheit 8200 ist die größte Division der israelischen Verteidigungsstreitkräfte, und doch ist der Großteil ihrer Operationen unbekannt – selbst die Identität des Brigadegeneral, der die Einheit leitet, ist geheim. Zu seinen vielen Heldentaten gehört eine Bericht behauptet, dass Einheit 8200 während eines israelischen Luftangriffs auf eine mutmaßliche syrische Atomanlage im Jahr 2007 einen geheimen Cyber-Kill-Switch aktiviert habe, der große Teile des syrischen Radars deaktiviert habe.
Um dieser Theorie noch mehr Glaubwürdigkeit zu verleihen, verschob Israel 2009 das Datum, an dem Iran voraussichtlich über rudimentäre Atomwaffen verfügen wird, auf 2014. Dies könnte darauf zurückzuführen sein, dass man von Problemen hörte, oder es könnte darauf hindeuten, dass Israel etwas wusste, was sonst niemand wusste.
Die USA sind ebenfalls ein Hauptverdächtiger, und im Mai dieses Jahres behauptete der Iran, dies getan zu haben verhaftet 30 Personen seien angeblich daran beteiligt gewesen, den USA dabei zu helfen, einen „Cyberkrieg“ gegen den Iran zu führen. Iran hat außerdem behauptet, dass die Bush-Regierung einen 400-Millionen-Dollar-Plan finanziert habe, um den Iran durch Cyberangriffe zu destabilisieren. Der Iran hat behauptet, dass die Obama-Regierung denselben Plan fortgesetzt und einige Projekte sogar beschleunigt habe. Kritiker haben erklärt, dass die Behauptungen Irans lediglich ein Vorwand seien, um „Unerwünschte“ auszumerzen, und dass die Verhaftungen einer von vielen Streitpunkten zwischen Iran und den USA seien.
Da das Virus jedoch weiterhin erforscht wird und immer mehr Antworten auf seine Funktion gefunden werden, werden immer mehr Rätsel um seine Herkunft aufgeworfen.
Laut Microsoft hätte der Virus mindestens 10.000 Stunden Programmierarbeit und ein Team von fünf oder mehr Personen mindestens sechs Monate engagierter Arbeit in Anspruch genommen. Viele spekulieren nun, dass es der gemeinsamen Anstrengung der Geheimdienste mehrerer Länder bedarf, um den Wurm zu entwickeln. Während die Israelis möglicherweise über die Entschlossenheit und die Techniker verfügen, behaupten einige, dass es zum Codieren der Malware auf dem Technologieniveau der Vereinigten Staaten bedarf. Die genaue Beschaffenheit der Siemens-Maschinerie in dem Ausmaß zu kennen, wie es Stuxnet tat, könnte auf Deutsch hindeuten Beteiligung, und die Russen waren möglicherweise an der Detaillierung der Spezifikationen der russischen Maschinerie beteiligt gebraucht. Der Wurm wurde für den Betrieb auf Frequenzen zugeschnitten, an denen finnische Komponenten beteiligt waren, was darauf hindeutet, dass auch Finnland und möglicherweise die NATO beteiligt sind. Aber es gibt noch mehr Geheimnisse.
Der Wurm wurde nicht aufgrund seiner Angriffe auf die iranischen Atomanlagen entdeckt, sondern aufgrund der weit verbreiteten Infektion von Stuxnet. Der zentrale Verarbeitungskern des iranischen Atomkraftwerks liegt tief unter der Erde und ist völlig vom Internet abgeschnitten. Damit der Wurm das System infizieren kann, muss er auf dem Computer oder einem Flash-Laufwerk eines Mitarbeiters eingeschleust worden sein. Alles, was es braucht, ist, dass ein einzelner Mitarbeiter die Arbeit mit nach Hause nimmt, dann zurückkommt und etwas einfügt harmlos wie ein Flash-Laufwerk in den Computer, und Stuxnet würde seinen stillen Marsch zur spezifischen Maschinerie beginnen es wollte.
Aber dann stellt sich die Frage: Warum haben die Verantwortlichen des Virus eine so unglaublich ausgefeilte Cyberwaffe entwickelt und sie dann auf eine wohl so schlampige Methode freigesetzt? Wenn das Ziel darin besteht, unentdeckt zu bleiben, ist die Freisetzung eines Virus, der sich mit der gezeigten Geschwindigkeit vermehren kann, schlampig. Die Frage war, wann und nicht ob das Virus entdeckt werden würde.
Der wahrscheinlichste Grund ist, dass es den Entwicklern einfach egal war. Das sorgfältigere Einschleusen der Schadsoftware hätte viel mehr Zeit in Anspruch genommen, und die Übertragung des Wurms in die spezifischen Systeme könnte viel länger dauern. Wenn ein Land sofortige Ergebnisse anstrebt, um einen aus seiner Sicht drohenden Angriff zu stoppen, dann könnte Schnelligkeit Vorrang vor Vorsicht haben. Das iranische Atomkraftwerk ist das einzige infizierte System, das einen echten Schaden durch Stuxnet meldet, sodass das Risiko für andere Systeme minimal zu sein scheint.
Was kommt also als Nächstes?
Siemens hat ein Erkennungs- und Entfernungstool für Stuxnet veröffentlicht, der Iran ist jedoch noch dabei kämpfen um die Schadsoftware vollständig zu entfernen. Erst am 23. November wurde die iranische Anlage in Natanz eröffnet gezwungen geschlossen werden, weitere Verzögerungen sind zu erwarten. Irgendwann sollte das Atomprogramm wieder in Gang kommen.
In einer anderen, aber möglicherweise verwandten Geschichte wurden Anfang dieser Woche zwei iranische Wissenschaftler durch verschiedene, aber identische Bombenanschläge in Teheran, Iran, getötet. Auf einer Pressekonferenz am folgenden Tag sagte Präsident Ahmadinedschad erzählt Reporter, dass „zweifellos die Hand des zionistischen Regimes und westlicher Regierungen an dem Attentat beteiligt ist.“
Heute früh, iranische Beamte behauptet Iran soll bei den Bombenanschlägen mehrere Festnahmen vorgenommen haben, und obwohl die Identität der Verdächtigen nicht bekannt gegeben wurde, sagte der iranische Geheimdienstminister: „Der Drei Spionageagenturen des Mossad, der CIA und des MI6 waren an den (Angriffen) beteiligt, und mit der Verhaftung dieser Personen werden wir neue Hinweise für die Verhaftung weiterer Personen finden Elemente“,
Die Kombination aus den Bombenanschlägen und den durch den Stuxnet-Virus verursachten Schäden dürfte die bevorstehenden Gespräche schwer belasten zwischen dem Iran und einer sechsköpfigen Konföderation aus China, Russland, Frankreich, Großbritannien, Deutschland und den USA am 6. Dezember und 7. Die Gespräche sollen dazu dienen, den Dialog über mögliche nukleare Ambitionen Irans fortzusetzen.
