Stuxnet

Stuxnet ist ein bösartiger Computerwurm, der erstmals im Jahr 2010 entdeckt wurde und vermutlich seit mindestens 2005 in Entwicklung war. Stuxnet zielt auf Überwachungs-, Kontroll- und Datenerfassungssysteme (SCADA) ab und ist vermutlich für die erhebliche Schädigung des iranischen Atomprogramms verantwortlich. Obwohl sich keines der beiden Länder offen zu seiner Verantwortung bekannt hat, wird allgemein davon ausgegangen, dass es sich bei dem Wurm um eine Cyberwaffe handelt, die gemeinsam von den Vereinigten Staaten und Israel im Rahmen einer als Operation Olympic Games bekannten Zusammenarbeit entwickelt wurde. ⓘ

Stuxnet zielt speziell auf speicherprogrammierbare Steuerungen (SPS) ab, die die Automatisierung elektromechanischer Prozesse ermöglichen, wie z. B. die Steuerung von Maschinen und industriellen Prozessen, einschließlich Gaszentrifugen zur Abtrennung von Kernmaterial. Stuxnet nutzt vier Zero-Day-Schwachstellen aus und zielt auf Maschinen, die das Microsoft Windows-Betriebssystem und Netzwerke verwenden, und sucht dann nach der Siemens Step7-Software. Stuxnet hat Berichten zufolge iranische PLCs kompromittiert, Informationen über industrielle Systeme gesammelt und die schnell drehenden Zentrifugen dazu gebracht, sich selbst zu zerreißen. Das Design und die Architektur von Stuxnet sind nicht bereichsspezifisch und könnten als Plattform für Angriffe auf moderne SCADA- und SPS-Systeme (z. B. in Fließbändern von Fabriken oder Kraftwerken) genutzt werden, von denen sich die meisten in Europa, Japan und den Vereinigten Staaten befinden. Stuxnet zerstörte Berichten zufolge fast ein Fünftel der iranischen Atomzentrifugen. Der Wurm, der auf industrielle Kontrollsysteme abzielt, infizierte mehr als 200.000 Computer und führte zu einer physischen Beeinträchtigung von 1.000 Maschinen. ⓘ

Stuxnet besteht aus drei Modulen: einem Wurm, der alle Routinen im Zusammenhang mit der Hauptnutzlast des Angriffs ausführt, einer Link-Datei, die automatisch die verbreiteten Kopien des Wurms ausführt, und einer Rootkit-Komponente, die dafür verantwortlich ist, alle bösartigen Dateien und Prozesse zu verstecken, um die Entdeckung von Stuxnet zu verhindern. Der Wurm wird in der Regel über ein infiziertes USB-Flash-Laufwerk in die Zielumgebung eingeschleust und überbrückt so jegliche Luftlücke. Der Wurm breitet sich dann über das Netzwerk aus und sucht auf Computern, die eine SPS steuern, nach Siemens Step7-Software. Ist keines der beiden Kriterien erfüllt, verbleibt Stuxnet im Computer inaktiv. Wenn beide Bedingungen erfüllt sind, schleust Stuxnet das infizierte Rootkit in die SPS und die Step7-Software ein, verändert den Code und gibt unerwartete Befehle an die SPS, während er eine Schleife normaler Systemwerte an die Benutzer zurückgibt. ⓘ

Stuxnet ist ein Computerwurm, der im Juni 2010 entdeckt und zuerst unter dem Namen RootkitTmphider beschrieben wurde. Das Schadprogramm wurde speziell entwickelt zum Angriff auf ein System zur Überwachung und Steuerung (SCADA-System) des Herstellers Siemens – die Simatic S7. Dabei wurde in die Steuerung von Frequenzumrichtern der Hersteller Vacon aus Finnland und Fararo Paya in Teheran eingegriffen. Frequenzumrichter dienen beispielsweise dazu, die Geschwindigkeit von Motoren zu steuern. ⓘ

Solche Steuerungen werden vielfach eingesetzt, etwa in Industrieanlagen wie Wasserwerken, Klimatechnik oder Pipelines. ⓘ

Da bis Ende September 2010 der Iran den größten Anteil der infizierten Computer besaß und es zu außergewöhnlichen Störungen im iranischen Atomprogramm kam, lag es nah, dass Stuxnet hauptsächlich entstand, um die Leittechnik der Urananreicherungsanlage in Natanz oder des Kernkraftwerks Buschehr zu stören. ⓘ

Die hochversierte Programmierer-Gruppe und Auftraggeber sind unbekannt. Jedoch leitete das US-Justizministerium im Jahr 2013 Ermittlungen gegen Stuxnet-Projektleiter General James E. Cartwright ein. Die Behörde vermutete, dass dieser im Jahr 2010 Details zu Stuxnet an die New York Times weitergab, was mutmaßlich zur Enttarnung des 50 Millionen Dollar teuren Sabotageprogramms führte. Eine Anklage gegen Cartwright in der Sache selbst erfolgte nicht. Allerdings wurde er wegen einer Falschaussage bei den Ermittlungen angeklagt, jedoch 2017 noch vor einem Urteil von Präsident Barack Obama begnadigt. ⓘ

Entdeckung

Stuxnet, das von Sergey Ulasen entdeckt wurde, verbreitete sich zunächst über Microsoft Windows und zielte auf industrielle Steuerungssysteme von Siemens ab. Es ist zwar nicht das erste Mal, dass Hacker es auf industrielle Systeme abgesehen haben, und auch nicht der erste öffentlich bekannte vorsätzliche Akt der Cyberkriegsführung, der durchgeführt wurde, aber es ist die erste entdeckte Malware, die industrielle Systeme ausspioniert und unterwandert, und die erste, die ein Rootkit für speicherprogrammierbare Steuerungen (SPS) enthält. ⓘ

Der Wurm verbreitet sich zunächst wahllos, enthält jedoch eine hochspezialisierte Malware-Nutzlast, die nur auf Siemens-Systeme zur übergeordneten Steuerung und Datenerfassung (SCADA) abzielt, die für die Steuerung und Überwachung bestimmter Industrieprozesse konfiguriert sind. Stuxnet infiziert SPS, indem es die Step-7-Softwareanwendung unterwandert, die zur Neuprogrammierung dieser Geräte verwendet wird. ⓘ

Verschiedene Varianten von Stuxnet zielten auf fünf iranische Organisationen ab, wobei das wahrscheinliche Ziel die Infrastruktur der Urananreicherung im Iran war. Symantec stellte im August 2010 fest, dass 60 % der weltweit infizierten Computer im Iran standen. Siemens erklärte, der Wurm habe bei seinen Kunden keinen Schaden angerichtet, doch das iranische Atomprogramm, das mit einem Embargo belegte und heimlich beschaffte Siemens-Geräte verwendet, wurde durch Stuxnet geschädigt. Kaspersky Lab kam zu dem Schluss, dass der ausgeklügelte Angriff nur mit "nationalstaatlicher Unterstützung" durchgeführt worden sein kann. Mikko Hyppönen, der leitende Forscher von F-Secure, stimmte auf die Frage, ob möglicherweise staatliche Unterstützung im Spiel war, zu: "So würde es aussehen, ja." ⓘ

Im Mai 2011 zitierte die PBS-Sendung Need To Know eine Erklärung von Gary Samore, dem Koordinator des Weißen Hauses für Rüstungskontrolle und Massenvernichtungswaffen, in der er sagte: "Wir sind froh, dass sie [die Iraner] Probleme mit ihrer Zentrifugenmaschine haben und dass wir - die USA und ihre Verbündeten - alles tun, was wir können, um sicherzustellen, dass wir ihnen die Sache erschweren", womit er eine Beteiligung der Vereinigten Staaten an Stuxnet "augenzwinkernd anerkannte". Laut The Daily Telegraph enthielt ein Showreel, das bei einer Ruhestandsfeier für den Chef der israelischen Verteidigungskräfte (IDF), Gabi Ashkenazi, abgespielt wurde, Hinweise auf Stuxnet als einen seiner operativen Erfolge als IDF-Stabschef. ⓘ

Am 1. Juni 2012 hieß es in einem Artikel der New York Times, Stuxnet sei Teil einer Operation des US-amerikanischen und des israelischen Geheimdienstes mit dem Namen Operation Olympic Games, die von der NSA unter Präsident George W. Bush entwickelt und unter Präsident Barack Obama ausgeführt wurde. ⓘ

Am 24. Juli 2012 berichtete ein Artikel von Chris Matyszczyk von CNET, wie die Atomenergie-Organisation des Iran den Forschungsleiter von F-Secure, Mikko Hyppönen, per E-Mail über einen neuen Fall von Malware informierte. ⓘ

Am 25. Dezember 2012 meldete eine halboffizielle iranische Nachrichtenagentur einen Cyberangriff durch Stuxnet, diesmal auf die Industrie im Süden des Landes. Die Malware hatte in den letzten Monaten ein Kraftwerk und einige andere Industrien in der Provinz Hormozgan angegriffen. ⓘ

Nach Angaben des Experten Eugene Kaspersky infizierte der Wurm auch ein Atomkraftwerk in Russland. Kaspersky wies jedoch darauf hin, dass das Kraftwerk nicht mit dem öffentlichen Internet verbunden ist und das System daher sicher sein sollte. ⓘ

Geschichte

Der Wurm wurde erstmals Mitte Juni 2010 von der Sicherheitsfirma VirusBlokAda identifiziert. Der Blogbeitrag des Journalisten Brian Krebs vom 15. Juli 2010 war der erste weit verbreitete Bericht über den Wurm. Der ursprüngliche Name von VirusBlokAda war "Rootkit.Tmphider"; Symantec nannte ihn jedoch "W32.Temphid" und änderte ihn später in "W32.Stuxnet". Der aktuelle Name leitet sich von einer Kombination einiger Schlüsselwörter in der Software ab (".stub" und "mrxnet.sys"). Der Grund für die Entdeckung zu diesem Zeitpunkt wird darauf zurückgeführt, dass sich der Virus aufgrund eines Programmierfehlers in einem Update versehentlich über sein eigentliches Ziel (die Anlage in Natanz) hinaus verbreitete; dies führte dazu, dass sich der Wurm auf dem Computer eines Ingenieurs verbreitete, der mit den Zentrifugen verbunden war, und sich weiter verbreitete, als der Ingenieur nach Hause zurückkehrte und seinen Computer mit dem Internet verband. ⓘ

Die Experten von Kaspersky Lab gingen zunächst davon aus, dass sich Stuxnet im März oder April 2010 zu verbreiten begann, doch die erste Variante des Wurms erschien bereits im Juni 2009. Am 15. Juli 2010, dem Tag, an dem die Existenz des Wurms allgemein bekannt wurde, wurde ein verteilter Denial-of-Service-Angriff auf die Server von zwei führenden Mailinglisten für die Sicherheit von Industriesystemen durchgeführt. Dieser Angriff, der von einer unbekannten Quelle ausging, aber wahrscheinlich mit Stuxnet zusammenhing, legte eine der Listen lahm und unterbrach damit eine wichtige Informationsquelle für Kraftwerke und Fabriken. Andererseits haben Symantec-Forscher eine Version des Stuxnet-Computervirus entdeckt, die im November 2007 für einen Angriff auf das iranische Atomprogramm verwendet wurde und bereits 2005 entwickelt wurde, als der Iran noch seine Urananreicherungsanlage einrichtete. ⓘ

Die zweite Variante mit wesentlichen Verbesserungen erschien im März 2010, offenbar weil die Autoren der Meinung waren, Stuxnet verbreite sich nicht schnell genug; eine dritte Variante mit geringfügigen Verbesserungen erschien im April 2010. Der Wurm enthält eine Komponente mit einem Build-Zeitstempel vom 3. Februar 2010. Am 25. November 2010 berichtete der britische Nachrichtensender Sky News, er habe von einer anonymen Quelle bei einer nicht näher bezeichneten IT-Sicherheitsorganisation Informationen erhalten, dass Stuxnet oder eine Variante des Wurms auf dem Schwarzmarkt gehandelt worden sei. ⓘ

Im Jahr 2015 stellte Kaspersky Lab fest, dass die Equation Group zwei der gleichen Zero-Day-Angriffe vor ihrer Verwendung in Stuxnet in einer anderen Malware namens fanny.bmp verwendet hatte, und kommentierte, dass "die ähnliche Art der Verwendung beider Exploits zusammen in verschiedenen Computerwürmern, etwa zur gleichen Zeit, darauf hindeutet, dass die Equation Group und die Stuxnet-Entwickler entweder dieselben sind oder eng zusammenarbeiten". ⓘ

Im Jahr 2019 präsentierten die Chronicle-Forscher Juan Andres Guerrero-Saade und Silas Cutler Beweise für die Zusammenarbeit von mindestens vier verschiedenen Malware-Plattformen von Bedrohungsakteuren bei der Erstellung der verschiedenen Versionen von Stuxnet. Die Zusammenarbeit wurde als "GOSSIP GIRL" bezeichnet, nachdem eine Bedrohungsgruppe geheime CSE-Folien durchsickern ließ, die auch Flame enthielten. GOSSIP GIRL ist ein kooperativer Dachverband, zu dem die Equation Group, Flame, Duqu und Flowershop (auch bekannt als "Cheshire Cat") gehören. ⓘ

Im Jahr 2020 fand der Forscher Facundo Muñoz Beweise, die darauf hindeuten, dass die Equation Group 2009 mit den Stuxnet-Entwicklern zusammenarbeitete, indem sie ihnen mindestens einen Zero-Day-Exploit und einen Exploit aus dem Jahr 2008 zur Verfügung stellte, der von dem Computerwurm Conficker und chinesischen Hackern aktiv in freier Wildbahn genutzt wurde. Im Jahr 2017 veröffentlichte eine Gruppe von Hackern, die unter dem Namen "The Shadow Brokers" bekannt ist, eine umfangreiche Sammlung von Tools der Equation Group, darunter neue Versionen beider Exploits, die im Jahr 2010 kompiliert wurden. ⓘ

Betroffene Länder

Eine von Symantec durchgeführte Studie über die Verbreitung von Stuxnet ergab, dass in den ersten Tagen der Infektion vor allem der Iran, Indonesien und Indien betroffen waren:

Berichten zufolge hat der Iran nach dem Stuxnet-Angriff seine Cyberwar-Fähigkeiten verstärkt und wird verdächtigt, Vergeltungsangriffe auf Banken in den Vereinigten Staaten zu unternehmen. ⓘ

Operation

Im Gegensatz zu den meisten anderen Schadprogrammen richtet Stuxnet bei Computern und Netzwerken, die nicht den spezifischen Konfigurationsanforderungen entsprechen, kaum Schaden an: "Die Angreifer achteten sehr darauf, dass nur die von ihnen ausgewählten Ziele getroffen wurden ... Es war der Job eines Scharfschützen." Der Wurm ist zwar vielseitig, macht sich aber selbst unschädlich, wenn auf den infizierten Computern keine Siemens-Software gefunden wird, und enthält Sicherheitsvorkehrungen, die verhindern, dass jeder infizierte Computer den Wurm an mehr als drei andere weitergibt, und dass er sich am 24. Juni 2012 selbst löscht. ⓘ

Für seine Ziele enthält Stuxnet unter anderem Code für einen Man-in-the-Middle-Angriff, mit dem Sensorsignale für die industrielle Prozesssteuerung gefälscht werden, damit ein infiziertes System nicht aufgrund eines festgestellten abnormalen Verhaltens abgeschaltet wird. Eine solche Komplexität ist für Malware sehr ungewöhnlich. Der Wurm besteht aus einem mehrschichtigen Angriff auf drei verschiedene Systeme:

1. Das Windows-Betriebssystem,
2. Siemens PCS 7-, WinCC- und STEP7-Industriesoftwareanwendungen, die unter Windows laufen, und
3. eine oder mehrere Siemens S7-SPSen. ⓘ

Windows-Infektion

Stuxnet griff Windows-Systeme über vier Zero-Day-Angriffe an (plus die CPLINK-Schwachstelle und eine vom Conficker-Wurm genutzte Sicherheitslücke). Der Wurm wird zunächst über infizierte Wechsellaufwerke wie USB-Flash-Laufwerke verbreitet, die Windows-Verknüpfungsdateien zum Starten von ausführbarem Code enthalten. Der Wurm nutzt dann andere Schwachstellen und Techniken wie Peer-to-Peer-Remote-Procedure-Call (RPC), um andere Computer in privaten Netzwerken zu infizieren und zu aktualisieren, die nicht direkt mit dem Internet verbunden sind. Die Anzahl der verwendeten Zero-Day-Exploits ist ungewöhnlich, da sie sehr geschätzt werden und Malware-Ersteller normalerweise nicht vier verschiedene Zero-Day-Exploits in ein und demselben Wurm verwenden (und damit gleichzeitig sichtbar machen). Zu diesen Exploits gehörten die Remotecode-Ausführung auf einem Computer mit aktivierter Druckerfreigabe und die LNK/PIF-Schwachstelle, bei der eine Datei ausgeführt wird, wenn ein Symbol im Windows Explorer angezeigt wird, ohne dass eine Benutzerinteraktion erforderlich ist. Stuxnet ist mit einer Größe von einem halben Megabyte ungewöhnlich groß und in mehreren verschiedenen Programmiersprachen (einschließlich C und C++) geschrieben, was für Malware ebenfalls ungewöhnlich ist. Die Windows-Komponente der Malware ist vielseitig, da sie sich relativ schnell und wahllos ausbreitet. ⓘ

Die Malware kann unter Windows sowohl im Benutzermodus als auch im Kernelmodus Rootkits installieren, und ihre Gerätetreiber wurden mit den privaten Schlüsseln zweier öffentlicher Schlüsselzertifikate digital signiert, die von zwei verschiedenen bekannten Unternehmen, JMicron und Realtek, beide im Hsinchu Science Park in Taiwan ansässig, gestohlen wurden. Die Treibersignierung ermöglichte die erfolgreiche Installation von Kernel-Mode-Rootkit-Treibern, ohne dass die Benutzer darüber informiert wurden, und blieb daher relativ lange Zeit unentdeckt. Beide kompromittierten Zertifikate wurden von Verisign widerrufen. ⓘ

Zwei Websites in Dänemark und Malaysia wurden als Befehls- und Kontrollserver für die Malware konfiguriert, so dass sie aktualisiert werden konnte und durch das Hochladen von Informationen Wirtschaftsspionage betrieben werden konnte. Diese beiden Domänennamen wurden daraufhin von ihrem DNS-Dienstanbieter auf Dynadot umgeleitet, um die Malware weltweit zu deaktivieren. ⓘ

Infektion der Step 7-Software

Kopplung eines Step7-Programms mit einer SPS über WinCC ⓘ

Stuxnet verhindert die Anzeige der eigenen AWL ⓘ

Der nächste wichtige Schritt für Stuxnet ist, sich in STEP7-Projektdateien (S7P-Dateien) festzusetzen. Zum einen benutzt er dazu den Server, der die WinCC-Datenbank-Software zur Verfügung stellt. Mit Hilfe des in der Software fest einprogrammierten Kennworts schreibt Stuxnet durch SQL-Befehle eine Kopie seiner selbst in die Datenbank. Sobald der lokale Rechner infiziert ist, wird der Eintrag wieder entfernt, aber gleichzeitig eine CAB-Datei geschrieben, die eine neue Stuxnet-DLL erzeugen kann. Durch Suchvorgänge beim Laden der Systembibliotheken wird dann diese modifizierte DLL geladen, entschlüsselt und installiert. Damit ereignet sich eine neue Infektion, die auch ein vorheriges Löschen der Dateien von Stuxnet wieder kompensiert. Zum anderen installiert er zwei Hooks im Simatic Manager für PCS 7. Es wird jedes Projekt infiziert, das innerhalb etwa der letzten 3,5 Jahre benutzt oder geändert wurde und das einen Ordner wincproj mit einer gültigen MCP-Datei (eine solche wird typischerweise von WinCC selbst erzeugt) enthält. Von einer Infektion ausgenommen werden Projekte, die nach dem Schema \Step7\Examples\* benannt sind. ⓘ

Die Datei s7otbxdx.dll ist die zentrale Bibliothek, mit der die Kopplung einer SPS mit einer Step7-Anwendung oder einem Field-PG stattfindet. Die originale Datei wird von Stuxnet in s7otbxsx.dll umbenannt und durch eine eigene s7otbxdx.dll ergänzt, damit Schreib- und Lesezugriffe zur SPS überwacht werden können. Insbesondere ermöglicht dieses Vorgehen sowohl das Unterbringen eigenen Schadcodes als Anweisungsliste (AWL, engl. Statementlist STL) in der SPS als auch diesen Code vor Veränderungen zu schützen. Letztlich wird von der Stuxnet-DLL als SPS-Rootkit kontrolliert, welche Programme mit welchen Parametern in der angeschlossenen SPS ausgeführt werden. ⓘ

Überblick über die normale Kommunikation zwischen Step 7 und einer Siemens-SPS ⓘ

Überblick über die Stuxnet-Hijacking-Kommunikation zwischen der Step 7-Software und einer Siemens-SPS ⓘ

Darüber hinaus nutzte die Malware eine Zero-Day-Schwachstelle in der WinCC/SCADA-Datenbanksoftware in Form eines hart kodierten Datenbankpassworts. ⓘ

SPS-Infektion

Siemens Simatic S7-300 SPS-CPU mit drei angeschlossenen E/A-Modulen ⓘ

Die Gesamtheit des Stuxnet-Codes ist noch nicht bekannt, aber seine Nutzlast zielt nur auf jene SCADA-Konfigurationen ab, die die Kriterien erfüllen, auf die er programmiert ist. ⓘ

Stuxnet erfordert, dass bestimmte Slave-Antriebe mit variabler Frequenz (Frequenzumrichter-Antriebe) an das angegriffene Siemens S7-300-System und die zugehörigen Module angeschlossen werden. Stuxnet greift nur SPS-Systeme mit Frequenzumrichtern von zwei bestimmten Anbietern an: Vacon mit Sitz in Finnland und Fararo Paya mit Sitz im Iran. Darüber hinaus überwacht er die Frequenz der angeschlossenen Motoren und greift nur Systeme an, die sich zwischen 807 Hz und 1.210 Hz drehen. Das ist eine viel höhere Frequenz, als Motoren in den meisten industriellen Anwendungen arbeiten, mit der bemerkenswerten Ausnahme von Gaszentrifugen. Stuxnet installiert Malware in den Speicherblock DB890 der SPS, der den Profibus-Nachrichtenbus des Systems überwacht. Wenn bestimmte Kriterien erfüllt sind, ändert sie die Frequenz periodisch auf 1.410 Hz, dann auf 2 Hz und dann auf 1.064 Hz und beeinflusst so den Betrieb der angeschlossenen Motoren durch Änderung ihrer Drehzahl. Außerdem installiert er ein Rootkit - der erste dokumentierte Fall dieser Art auf dieser Plattform -, das die Malware auf dem System versteckt und die Änderungen der Drehzahl vor den Überwachungssystemen verbirgt. ⓘ

Beseitigung

Siemens hat ein Tool zur Erkennung und Entfernung von Stuxnet veröffentlicht. Siemens empfiehlt, den Kundensupport zu kontaktieren, wenn eine Infektion festgestellt wird, und rät, Microsoft-Updates für Sicherheitslücken zu installieren und die Verwendung von USB-Flash-Laufwerken von Drittanbietern zu verbieten. Siemens rät außerdem, die Zugangskennwörter sofort zu aktualisieren. ⓘ

Die Fähigkeit des Wurms, externe Steuerungen umzuprogrammieren, kann die Entfernung erschweren. Liam O'Murchu von Symantec warnt, dass die Reparatur von Windows-Systemen die Infektion möglicherweise nicht vollständig behebt; eine gründliche Überprüfung der Steuerungen kann erforderlich sein. Trotz der Spekulationen, dass eine unsachgemäße Entfernung des Wurms Schaden anrichten könnte, berichtet Siemens, dass die Malware in den ersten vier Monaten seit ihrer Entdeckung erfolgreich und ohne nachteilige Auswirkungen von den Systemen von 22 Kunden entfernt wurde. ⓘ

Sicherheit von Leitsystemen

Die Vorbeugung von Sicherheitsvorfällen bei Steuerungssystemen, z. B. durch Virusinfektionen wie Stuxnet, ist ein Thema, mit dem sich sowohl der öffentliche als auch der private Sektor befasst. ⓘ

Die National Cyber Security Division (NCSD) des US-Heimatschutzministeriums betreibt das Control System Security Program (CSSP). Das Programm unterhält ein spezialisiertes Computer-Notfallteam, das Industrial Control Systems Cyber Emergency Response Team (ICS-CERT), führt alle zwei Jahre eine Konferenz (ICSJWG) durch, bietet Schulungen an, veröffentlicht empfohlene Praktiken und stellt ein Selbstbewertungsinstrument zur Verfügung. Im Rahmen eines Plans des Heimatschutzministeriums zur Verbesserung der amerikanischen Computersicherheit arbeiteten das ICS-CERT und das Idaho National Laboratory (INL) im Jahr 2008 mit Siemens zusammen, um Sicherheitslücken im weit verbreiteten Process Control System 7 (PCS 7) des Unternehmens und seiner Software Step 7 zu identifizieren. Im Juli 2008 gaben INL und Siemens auf einer Konferenz in Chicago die Schwachstellen im Steuerungssystem öffentlich bekannt; Stuxnet nutzte diese Lücken 2009 aus. ⓘ

Mehrere Branchenorganisationen und Fachverbände haben Standards und Best-Practice-Richtlinien veröffentlicht, die Endanwendern von Steuerungssystemen Hinweise und Anleitungen für die Einrichtung eines Programms zum Sicherheitsmanagement von Steuerungssystemen geben. Die grundlegende Prämisse, die alle diese Dokumente teilen, ist, dass Prävention einen mehrschichtigen Ansatz erfordert, der oft als "Defense in Depth" bezeichnet wird. Zu diesen Ebenen gehören Richtlinien und Verfahren, Sensibilisierung und Schulung, Netzwerksegmentierung, Zugangskontrollmaßnahmen, physische Sicherheitsmaßnahmen, Systemhärtung, z. B. Patch-Management, und Systemüberwachung, Virenschutz und Intrusion Prevention System (IPS). Die Standards und bewährten Verfahren empfehlen außerdem, mit einer Risikoanalyse und einer Sicherheitsbewertung des Kontrollsystems zu beginnen. ⓘ

Ziel und Ursprung

Experten gehen davon aus, dass Stuxnet den größten und teuersten Entwicklungsaufwand in der Geschichte der Malware erforderte. Die Entwicklung seiner zahlreichen Fähigkeiten erforderte ein Team hochqualifizierter Programmierer, tiefgreifende Kenntnisse industrieller Prozesse und ein Interesse an Angriffen auf industrielle Infrastrukturen. Eric Byres, der über jahrelange Erfahrung in der Wartung und Fehlerbehebung von Siemens-Systemen verfügt, erklärte gegenüber Wired, dass das Schreiben des Codes viele Arbeitsmonate, wenn nicht sogar Arbeitsjahre in Anspruch genommen hätte. Symantec schätzt, dass die Gruppe, die Stuxnet entwickelt hat, zwischen fünf und dreißig Personen umfasste und sechs Monate für die Vorbereitung gebraucht hätte. Der Guardian, die BBC und die New York Times berichteten übereinstimmend, dass (ungenannte) Experten, die sich mit Stuxnet befasst haben, der Meinung sind, dass die Komplexität des Codes darauf hindeutet, dass nur ein Nationalstaat in der Lage ist, ihn herzustellen. Die Selbstzerstörung und andere Sicherheitsvorkehrungen innerhalb des Codes deuteten darauf hin, dass eine westliche Regierung für die Entwicklung des Codes verantwortlich war oder zumindest verantwortlich ist. Der Software-Sicherheitsexperte Bruce Schneier verurteilte jedoch die Berichterstattung über Stuxnet im Jahr 2010 zunächst als Hype, da sie fast ausschließlich auf Spekulationen basierte. Nach weiteren Recherchen stellte Schneier 2012 jedoch fest, dass "wir Stuxnet nun eindeutig mit der Zentrifugenstruktur im iranischen Atomanreicherungslabor Natanz in Verbindung bringen können". ⓘ

Iran als Ziel

Ralph Langner, der Forscher, der herausfand, dass Stuxnet SPS infizierte, spekulierte erstmals im September 2010 öffentlich, dass die Malware israelischen Ursprungs sei und iranische Atomanlagen zum Ziel habe. In jüngerer Zeit erklärte Langner jedoch auf einer TED-Konferenz im Februar 2011: "Meiner Meinung nach ist der Mossad beteiligt, aber die führende Kraft ist nicht Israel. Die führende Kraft hinter Stuxnet ist die Cyber-Supermacht - es gibt nur eine; und das sind die Vereinigten Staaten." Kevin Hogan, Senior Director of Security Response bei Symantec, berichtete, dass sich die meisten infizierten Systeme im Iran befanden (etwa 60 %), was zu Spekulationen geführt hat, dass die Schadsoftware möglicherweise absichtlich auf "hochwertige Infrastruktur" im Iran abzielte, darunter das Kernkraftwerk Bushehr oder die Nuklearanlage Natanz. Langner bezeichnete die Schadsoftware als "One-Shot-Waffe" und sagte, dass das beabsichtigte Ziel wahrscheinlich getroffen wurde, obwohl er einräumte, dass dies Spekulation sei. Ein anderer deutscher Forscher und Sprecher des in Deutschland ansässigen Chaos Computer Clubs, Frank Rieger, war der erste, der spekulierte, dass Natanz das Ziel war. ⓘ

Atomanlagen in Natanz

Flugabwehrkanonen zur Bewachung der Nuklearanlage in Natanz ⓘ

Externes Bild ⓘ
Satellitenbilder der Anreicherungsanlage in Natanz

Nach Angaben der israelischen Zeitung Haaretz waren Iran-Experten und Computersicherheitsexperten im September 2010 zunehmend davon überzeugt, dass Stuxnet "die Urananreicherungsanlage in Natanz sabotieren sollte - wo die Betriebskapazität der Zentrifuge im vergangenen Jahr um 30 Prozent gesunken war". Am 23. November 2010 wurde bekannt gegeben, dass die Urananreicherung in Natanz aufgrund einer Reihe größerer technischer Probleme mehrfach unterbrochen wurde. In der ersten Jahreshälfte 2009 ereignete sich in der Anlage ein "schwerer nuklearer Unfall" (angeblich die Abschaltung einiger Zentrifugen), der Gholam Reza Aghazadeh, den Leiter der iranischen Atomenergieorganisation (AEOI), zum Rücktritt gezwungen haben soll. Statistiken, die von der Federation of American Scientists (FAS) veröffentlicht wurden, zeigen, dass die Zahl der im Iran in Betrieb befindlichen Anreicherungszentrifugen auf mysteriöse Weise von etwa 4.700 auf etwa 3.900 zurückgegangen ist, und zwar ungefähr zu dem Zeitpunkt, als sich der von WikiLeaks erwähnte nukleare Zwischenfall ereignet haben soll. Das Institute for Science and International Security (ISIS) schlägt in einem im Dezember 2010 veröffentlichten Bericht vor, dass Stuxnet eine plausible Erklärung für die offensichtlichen Schäden in Natanz ist und möglicherweise bis zu 1.000 Zentrifugen (10 Prozent) irgendwann zwischen November 2009 und Ende Januar 2010 zerstört hat. Die Autoren kommen zu dem Schluss:

Die Angriffe scheinen darauf abgestellt zu sein, eine Änderung der Rotordrehzahl der Zentrifuge zu erzwingen, indem die Drehzahl zunächst erhöht und dann gesenkt wird, wahrscheinlich in der Absicht, übermäßige Vibrationen oder Verzerrungen zu erzeugen, die die Zentrifuge zerstören würden. Wenn das Ziel darin bestand, alle Zentrifugen in der FEP [Fuel Enrichment Plant] schnell zu zerstören, hat Stuxnet versagt. Wenn das Ziel jedoch darin bestand, eine begrenzte Anzahl von Zentrifugen zu zerstören und die Fortschritte des Irans beim Betrieb der FEP aufzuhalten und gleichzeitig die Entdeckung zu erschweren, könnte es zumindest vorübergehend gelungen sein. ⓘ

In dem ISIS-Bericht heißt es weiter, dass die iranischen Behörden versucht haben, den Ausfall zu verschleiern, indem sie in großem Umfang neue Zentrifugen installiert haben. ⓘ

Der Wurm bewirkte zunächst, dass eine infizierte iranische IR-1-Zentrifuge ihre normale Betriebsgeschwindigkeit von 1.064 Hertz für 15 Minuten auf 1.410 Hertz erhöhte, bevor sie auf ihre normale Frequenz zurückkehrte. Siebenundzwanzig Tage später trat der Wurm erneut in Aktion und verlangsamte die infizierten Zentrifugen für volle 50 Minuten auf einige hundert Hertz. Die Belastung durch die übermäßigen und dann langsameren Geschwindigkeiten führte dazu, dass sich die Aluminium-Zentrifugenrohre ausdehnten und oft Teile der Zentrifugen so stark miteinander in Kontakt kamen, dass die Maschine zerstört wurde. ⓘ

Nach Angaben der Washington Post haben Kameras der Internationalen Atomenergiebehörde (IAEO), die in der Anlage in Natanz installiert waren, die plötzliche Demontage und Entfernung von etwa 900-1.000 Zentrifugen aufgezeichnet, während der Wurm Stuxnet in der Anlage aktiv war. Die iranischen Techniker waren jedoch in der Lage, die Zentrifugen schnell zu ersetzen, und der Bericht kam zu dem Schluss, dass die Urananreicherung wahrscheinlich nur kurzzeitig unterbrochen war. ⓘ

Am 15. Februar 2011 veröffentlichte das Institute for Science and International Security einen Bericht, in dem es zu dem Schluss kam, dass:

Unter der Annahme, dass der Iran Vorsicht walten lässt, ist es unwahrscheinlich, dass Stuxnet weitere Zentrifugen in der Anlage in Natanz zerstört. Der Iran hat die Schadsoftware wahrscheinlich aus seinen Kontrollsystemen entfernt. Um eine erneute Infektion zu verhindern, wird der Iran besondere Vorsicht walten lassen müssen, da so viele Computer im Iran Stuxnet enthalten. ⓘ Obwohl Stuxnet offenbar darauf ausgelegt ist, die Zentrifugen in der Natanz-Anlage zu zerstören, war die Zerstörung keineswegs vollständig. Außerdem hat Stuxnet die Produktion von schwach angereichertem Uran (LEU) im Jahr 2010 nicht verringert. Die LEU-Mengen hätten durchaus größer sein können, und Stuxnet könnte ein wichtiger Grund dafür sein, dass sie nicht wesentlich gestiegen sind. Nichtsdestotrotz bleiben wichtige Fragen darüber offen, warum Stuxnet nur 1.000 Zentrifugen zerstört hat. Eine Beobachtung ist, dass es möglicherweise schwieriger ist, Zentrifugen durch Cyberangriffe zu zerstören, als oft angenommen wird.

ⓘ

Iranische Reaktion

Die Associated Press berichtete, dass die halboffizielle iranische Studenten-Nachrichtenagentur am 24. September 2010 eine Erklärung veröffentlichte, in der es hieß, dass Experten der iranischen Atomenergie-Organisation in der vergangenen Woche zusammenkamen, um zu erörtern, wie Stuxnet aus ihren Systemen entfernt werden könnte. Analysten wie David Albright zufolge hatten westliche Geheimdienste schon seit einiger Zeit versucht, das iranische Atomprogramm zu sabotieren. ⓘ

Der Leiter des Kernkraftwerks Bushehr erklärte gegenüber der Nachrichtenagentur Reuters, dass nur die persönlichen Computer der Mitarbeiter des Kraftwerks mit Stuxnet infiziert worden seien, und die staatliche Zeitung Iran Daily zitierte Reza Taghipour, den iranischen Minister für Telekommunikation, mit den Worten, dass der Virus keine "ernsthaften Schäden an Regierungssystemen" verursacht habe. Der Direktor des Rates für Informationstechnologie im iranischen Ministerium für Industrie und Bergbau, Mahmud Liaii, erklärte: "Ein elektronischer Krieg wurde gegen die Systeme der Regierung geführt: "Ein elektronischer Krieg wurde gegen den Iran gestartet... Dieser Computerwurm wurde entwickelt, um Daten über Produktionslinien unserer Industrieanlagen an Orte außerhalb des Irans zu übertragen." ⓘ

Als Reaktion auf die Infektion hat der Iran ein Team zur Bekämpfung der Infektion zusammengestellt. Mit mehr als 30.000 betroffenen IP-Adressen im Iran sagte ein Beamter, dass sich die Infektion im Iran schnell verbreite und das Problem durch die Fähigkeit von Stuxnet, zu mutieren, noch verschärft werde. Der Iran hat eigene Systeme zur Bereinigung von Infektionen eingerichtet und von der Verwendung des Siemens SCADA-Antivirus abgeraten, da der Verdacht besteht, dass der Antivirus eingebetteten Code enthält, der Stuxnet aktualisiert, anstatt es zu entfernen. ⓘ

Laut Hamid Alipour, dem stellvertretenden Leiter der staatlichen iranischen Gesellschaft für Informationstechnologie, "dauert der Angriff noch an, und neue Versionen des Virus verbreiten sich". Er berichtete, dass sein Unternehmen mit der Säuberung der "sensiblen Zentren und Organisationen" des Irans begonnen habe. "Wir hatten erwartet, dass wir den Virus innerhalb von ein bis zwei Monaten ausrotten könnten, aber der Virus ist nicht stabil, und seit wir mit der Bereinigung begonnen haben, haben sich drei neue Versionen des Virus verbreitet", sagte er der Islamic Republic News Agency am 27. September 2010. ⓘ

Am 29. November 2010 erklärte der iranische Präsident Mahmoud Ahmadinejad zum ersten Mal, dass ein Computervirus Probleme mit der Steuerung der Zentrifugen in der Anlage in Natanz verursacht habe. Laut Reuters sagte er auf einer Pressekonferenz in Teheran: "Es ist ihnen gelungen, mit der Software, die sie in elektronischen Teilen installiert haben, Probleme bei einer begrenzten Anzahl unserer Zentrifugen zu verursachen." ⓘ

Am selben Tag wurden zwei iranische Nuklearwissenschaftler bei getrennten, aber fast gleichzeitigen Autobombenanschlägen in der Nähe der Shahid Beheshti Universität in Teheran angegriffen. Majid Shahriari, ein Quantenphysiker, wurde getötet. Fereydoon Abbasi, ein hochrangiger Beamter des Verteidigungsministeriums, wurde schwer verwundet. Wired spekulierte, dass die Attentate darauf hindeuten könnten, dass die Hintermänner von Stuxnet der Meinung waren, dass dies nicht ausreicht, um das Atomprogramm zu stoppen. Im selben Wired-Artikel wurde vermutet, dass die iranische Regierung hinter den Attentaten stecken könnte. Im Januar 2010 wurde ein weiterer iranischer Nuklearwissenschaftler, ein Physikprofessor der Universität Teheran, bei einer ähnlichen Bombenexplosion getötet. Am 11. Januar 2012 wurde ein Direktor der Atomanreicherungsanlage in Natanz, Mostafa Ahmadi Roshan, bei einem Anschlag getötet, der dem von Schahriari sehr ähnlich war. ⓘ

Eine Analyse der FAS zeigt, dass Irans Anreicherungskapazität im Jahr 2010 gewachsen ist. Aus der Studie geht hervor, dass die iranischen Zentrifugen offenbar um 60 % leistungsfähiger sind als im Vorjahr, was die Zeit, die Teheran für die Herstellung von bombenfähigem Uran benötigt, erheblich verkürzen würde. Der FAS-Bericht wurde von einem Beamten der IAEO geprüft, der die Studie bestätigte. ⓘ

Europäische und US-amerikanische Beamte sowie private Experten erklärten gegenüber der Nachrichtenagentur Reuters, dass es den iranischen Ingenieuren gelungen sei, Stuxnet zu neutralisieren und aus der Nuklearmaschinerie ihres Landes zu entfernen. ⓘ

In Anbetracht der wachsenden iranischen Anreicherungskapazitäten im Jahr 2010 könnte das Land absichtlich Fehlinformationen verbreitet haben, um die Schöpfer von Stuxnet glauben zu machen, dass der Wurm das iranische Atomprogramm erfolgreicher außer Gefecht setzen konnte, als er es tatsächlich war. ⓘ

Israel

In vielen Medienberichten und von Experten wie Richard A. Falkenrath, dem ehemaligen Senior Director for Policy and Plans im US Office of Homeland Security, wird vermutet, dass Israel über die Einheit 8200 hinter Stuxnet steckt. Yossi Melman, der für die israelische Zeitung Haaretz über den Geheimdienst berichtet und ein Buch über den israelischen Geheimdienst geschrieben hat, vermutete ebenfalls eine Beteiligung Israels und wies darauf hin, dass die Amtszeit von Meir Dagan, dem ehemaligen (bis 2011) Leiter des nationalen Geheimdienstes Mossad, im Jahr 2009 verlängert wurde, weil er angeblich an wichtigen Projekten beteiligt war. Darüber hinaus ging Israel 2010 zunehmend davon aus, dass der Iran 2014 oder 2015 über eine Atomwaffe verfügen würde - mindestens drei Jahre später als in früheren Schätzungen -, ohne dass ein israelischer Militärschlag gegen iranische Nuklearanlagen erforderlich wäre; "Sie scheinen etwas zu wissen, dass sie mehr Zeit haben als ursprünglich angenommen", fügte er hinzu. Israel hat sich nicht öffentlich zu dem Stuxnet-Angriff geäußert, bestätigte aber 2010, dass die Cyberkriegsführung nun zu den Pfeilern seiner Verteidigungsdoktrin gehöre und dass eine militärische Geheimdiensteinheit eingerichtet wurde, die sowohl defensive als auch offensive Optionen verfolgt. Auf die Frage, ob Israel hinter dem Virus steckte, brachen einige israelische Beamte im Herbst 2010 in ein breites Lächeln aus, was Spekulationen nährte, dass die israelische Regierung an der Entstehung des Virus beteiligt war. Auch der amerikanische Präsidentenberater Gary Samore lächelte bei der Erwähnung von Stuxnet, obwohl amerikanische Beamte behaupteten, der Virus sei im Ausland entstanden. Laut The Telegraph berichtete die israelische Zeitung Haaretz, dass ein Video zur Feier der operativen Erfolge von Gabi Ashkenazi, dem scheidenden Generalstabschef der israelischen Verteidigungskräfte (IDF), auf seiner Abschiedsfeier gezeigt wurde und Hinweise auf Stuxnet enthielt, was die Behauptung untermauert, dass die israelischen Sicherheitskräfte dafür verantwortlich sind. ⓘ

Im Jahr 2009, ein Jahr vor der Entdeckung von Stuxnet, deutete Scott Borg von der United States Cyber-Consequences Unit (US-CCU) an, dass Israel möglicherweise lieber einen Cyberangriff als einen Militärschlag gegen die iranischen Atomanlagen durchführen würde. Ende 2010 erklärte Borg: "Israel ist sicherlich in der Lage, Stuxnet zu entwickeln, und ein solcher Angriff hätte kaum Nachteile, da es praktisch unmöglich wäre, den Urheber zu ermitteln. Ein Werkzeug wie Stuxnet ist also die offensichtliche Waffe der Wahl für Israel." Der Iran verwendet in Natanz P-1-Zentrifugen, deren Design A. Q. Khan 1976 gestohlen und nach Pakistan gebracht hat. Sein Schwarzmarkt-Netzwerk zur Verbreitung von Kernwaffen verkaufte P-1-Zentrifugen unter anderem an den Iran. Experten gehen davon aus, dass auch Israel irgendwie in den Besitz von P-1 gekommen ist und Stuxnet an den Zentrifugen getestet hat, die in der Anlage in Dimona installiert sind, die Teil seines eigenen Atomprogramms ist. Die Ausrüstung könnte aus den Vereinigten Staaten stammen, die P-1 aus dem ehemaligen Atomprogramm Libyens erhalten haben. ⓘ

Einige haben auch mehrere Hinweise im Code angeführt, wie z. B. einen versteckten Verweis auf das Wort MYRTUS, von dem angenommen wird, dass es sich auf den lateinischen Namen myrtus des Myrtenbaums bezieht, der im Hebräischen Hadassah heißt. Hadassah war der Geburtsname der ehemaligen jüdischen Königin von Persien, Königin Esther. Es könnte jedoch sein, dass der Verweis "MYRTUS" einfach ein falsch interpretierter Verweis auf SCADA-Komponenten ist, die als RTUs (Remote Terminal Units) bekannt sind, und dass dieser Verweis eigentlich "My RTUs" ist - eine Verwaltungsfunktion von SCADA. Auch die Zahl 19790509 erscheint einmal im Code und könnte sich auf das Datum 1979 Mai 09 beziehen, den Tag, an dem Habib Elghanian, ein persischer Jude, in Teheran hingerichtet wurde. Ein weiteres Datum, das in dem Code auftaucht, ist der "24. September 2007", der Tag, an dem der iranische Präsident Mahmoud Ahmadinejad an der Columbia University sprach und in seinen Äußerungen die Gültigkeit des Holocausts in Frage stellte. Diese Daten sind nicht beweiskräftig, da, wie Symantec anmerkt, "... die Angreifer den natürlichen Wunsch haben, eine andere Partei zu verwickeln". ⓘ

Vereinigte Staaten

Es gab auch Aussagen über die Beteiligung der Vereinigten Staaten und ihre Zusammenarbeit mit Israel, wobei es in einem Bericht hieß, dass "es kaum Zweifel daran gibt, dass [sie] eine Rolle bei der Erstellung des Wurms gespielt haben". Es wurde berichtet, dass die Vereinigten Staaten im Rahmen eines ihrer geheimsten Programme, das von der Bush-Regierung initiiert und von der Obama-Regierung beschleunigt wurde, versucht haben, das iranische Atomprogramm durch neuartige Methoden wie die Unterminierung iranischer Computersysteme zu zerstören. Ein von WikiLeaks veröffentlichtes diplomatisches Kabel zeigt, wie den Vereinigten Staaten geraten wurde, die nuklearen Fähigkeiten des Irans durch "verdeckte Sabotage" anzugreifen. Ein Artikel in der New York Times vom Januar 2009 schrieb einem damals nicht näher bezeichneten Programm zu, einen israelischen Militärangriff auf den Iran verhindert zu haben, wobei sich einige der Bemühungen auf Möglichkeiten zur Destabilisierung der Zentrifugen konzentrierten. In einem Wired-Artikel wurde behauptet, Stuxnet sei "vermutlich von den Vereinigten Staaten entwickelt worden". Der niederländische Historiker Peter Koop spekulierte, dass die Tailored Access Operations Stuxnet entwickelt haben könnten, möglicherweise in Zusammenarbeit mit Israel. ⓘ

Die Tatsache, dass John Bumgarner, ein ehemaliger Geheimdienstoffizier und Mitglied der United States Cyber-Consequences Unit (US-CCU), vor der Entdeckung oder Entschlüsselung von Stuxnet einen Artikel veröffentlichte, in dem ein strategischer Cyberangriff auf Zentrifugen skizziert wurde und der nahelegt, dass Cyberangriffe gegen Nationalstaaten zulässig sind, die Urananreicherungsprogramme betreiben, die gegen internationale Verträge verstoßen, verleiht diesen Behauptungen eine gewisse Glaubwürdigkeit. Bumgarner wies darauf hin, dass die Zentrifugen, die zur Aufbereitung von Brennstoff für Atomwaffen verwendet werden, ein wichtiges Ziel für Cyberangriffe sind und dass sie durch Manipulation ihrer Drehgeschwindigkeit zur Selbstzerstörung gebracht werden können. ⓘ

In einem Interview mit 60 Minutes im März 2012 bestritt der pensionierte US-Luftwaffengeneral Michael Hayden, der als Direktor des US-Geheimdienstes Central Intelligence Agency und der National Security Agency tätig war, zu wissen, wer Stuxnet entwickelt hat, und sagte, er halte es für "eine gute Idee", die aber insofern eine Kehrseite habe, als sie den Einsatz hochentwickelter Cyberwaffen legitimiere, die physischen Schaden anrichten sollen. Hayden sagte: "Es gibt Leute da draußen, die sich das ansehen und vielleicht sogar versuchen, es für ihre Zwecke zu nutzen". Im selben Bericht stellte Sean McGurk, ein ehemaliger Beamter für Cybersicherheit im Ministerium für Heimatschutz, fest, dass der Stuxnet-Quellcode jetzt online heruntergeladen und verändert werden kann, um auf neue Zielsysteme gerichtet zu werden. Über die Urheber von Stuxnet sagte er: "Sie haben die Box geöffnet. Sie haben die Fähigkeit demonstriert... Das ist nichts, was man wieder zurücksetzen kann". ⓘ

Gemeinsame Anstrengungen und andere Staaten und Ziele

Im April 2011 erklärte der iranische Regierungsvertreter Gholam Reza Jalali, eine Untersuchung habe ergeben, dass die Vereinigten Staaten und Israel hinter dem Stuxnet-Angriff steckten. Frank Rieger erklärte, dass die Nachrichtendienste dreier europäischer Länder darin übereinstimmten, dass Stuxnet eine gemeinsame Anstrengung der Vereinigten Staaten und Israels war. Der Code für den Windows-Injektor und die SPS-Nutzlast unterscheiden sich im Stil, was wahrscheinlich auf eine Zusammenarbeit hindeutet. Andere Experten halten eine Zusammenarbeit zwischen den USA und Israel für unwahrscheinlich, da "das Vertrauen zwischen den Geheimdiensten und den militärischen Einrichtungen der beiden Länder nicht sehr groß ist". ⓘ

In einem Artikel des Magazins Wired heißt es über den US-General Keith B. Alexander: "Und er und seine Cyber-Krieger haben bereits ihren ersten Angriff gestartet. Die Cyberwaffe, die unter dem Namen Stuxnet bekannt wurde, wurde von der NSA in Zusammenarbeit mit der CIA und dem israelischen Geheimdienst Mitte der 2000er Jahre entwickelt und gebaut." ⓘ

Auch China, Jordanien und Frankreich kommen in Frage, und Siemens könnte ebenfalls beteiligt gewesen sein. Langner spekulierte, dass sich die Infektion über USB-Laufwerke russischer Auftragnehmer verbreitet haben könnte, da die iranischen Ziele nicht über das Internet erreichbar waren. Im Jahr 2019 wurde berichtet, dass ein iranischer Maulwurf, der im Auftrag Israels und der CIA für den niederländischen Geheimdienst arbeitet, den Stuxnet-Virus mit einem USB-Stick einschleuste oder eine andere Person, die in der Anlage in Natanz arbeitet, dazu überredete, dies zu tun. ⓘ

Sandro Gaycken von der Freien Universität Berlin vertrat die Ansicht, dass der Angriff auf den Iran ein Trick war, um vom eigentlichen Zweck von Stuxnet abzulenken. Seiner Meinung nach deutet die weite Verbreitung von Stuxnet in mehr als 100.000 Industrieanlagen auf der ganzen Welt auf einen Feldversuch einer Cyberwaffe in verschiedenen Sicherheitskulturen hin, bei dem deren Bereitschaft, Widerstandsfähigkeit und Reaktionen getestet wurden - alles sehr wertvolle Informationen für eine Cyberwar-Einheit. ⓘ

Das Vereinigte Königreich hat eine Beteiligung an der Entwicklung des Wurms bestritten. ⓘ

Aus den von WikiLeaks veröffentlichten Stratfor-Dokumenten geht hervor, dass die internationale Sicherheitsfirma Stratfor glaubt, dass Israel hinter Stuxnet steckt: "Aber wir können nicht davon ausgehen, dass sie, weil sie Stuxnet gemacht haben, auch in der Lage sind, diesen Wurm zu machen". ⓘ

Im Juli 2013 behauptete Edward Snowden, dass Stuxnet in Zusammenarbeit zwischen den Vereinigten Staaten und Israel entwickelt wurde. ⓘ

Einsatz in Nordkorea

Einem Bericht von Reuters zufolge versuchte die NSA auch, das nordkoreanische Atomprogramm mit einer Version von Stuxnet zu sabotieren. Die Operation wurde Berichten zufolge zeitgleich mit dem Angriff auf iranische Zentrifugen in den Jahren 2009-10 durchgeführt. Das nordkoreanische Atomprogramm weist viele Ähnlichkeiten mit dem iranischen auf, da beide mit der vom pakistanischen Atomwissenschaftler A.Q. Khan transferierten Technologie entwickelt worden sind. Der Versuch scheiterte jedoch, weil die extreme Geheimhaltung und Isolation Nordkoreas es unmöglich machte, Stuxnet in die Nuklearanlage einzuschleusen. ⓘ

Cyberangriff mit Stuxnet 2.0

Im Jahr 2018 behauptete Gholamreza Jalali, Irans Leiter der Nationalen Passiven Verteidigungsorganisation (NPDO), sein Land habe einen Stuxnet-ähnlichen Angriff auf die Telekommunikationsinfrastruktur des Landes abgewehrt. Der iranische Minister für Telekommunikation, Mohammad-Javad Azari Jahromi, hat Israel inzwischen beschuldigt, den Angriff inszeniert zu haben. Der Iran plant, Israel vor dem Internationalen Gerichtshof (IGH) zu verklagen, und ist auch bereit, einen Vergeltungsangriff zu starten, falls Israel nicht davon ablässt. ⓘ

Verwandte Malware

"Stuxnets heimlicher Zwilling"

In einem Artikel des Magazins Foreign Policy vom November 2013 wird behauptet, dass es einen früheren, viel raffinierteren Angriff auf den Zentrifugenkomplex in Natanz gab, der darauf abzielte, die Ausfallrate der Zentrifugen über einen langen Zeitraum zu erhöhen, indem heimlich Uranhexafluoridgas-Überdruckereignisse herbeigeführt wurden. Diese Schadsoftware konnte sich nur verbreiten, wenn sie physisch installiert wurde, wahrscheinlich durch zuvor kontaminierte Feldgeräte, die von Auftragnehmern verwendet wurden, die an den Siemens-Steuerungssystemen innerhalb des Komplexes arbeiteten. Es ist nicht klar, ob dieser Angriffsversuch erfolgreich war, aber es ist bezeichnend, dass ihm ein anderer, einfacherer und konventionellerer Angriff folgte. ⓘ

Duqu

Am 1. September 2011 wurde ein neuer Wurm entdeckt, von dem angenommen wird, dass er mit Stuxnet in Verbindung steht. Das Laboratory of Cryptography and System Security (CrySyS) der Budapest University of Technology and Economics analysierte die Malware und nannte die Bedrohung Duqu. Auf der Grundlage dieses Berichts setzte Symantec die Analyse der Bedrohung fort und bezeichnete sie als "fast identisch mit Stuxnet, aber mit einem völlig anderen Zweck". Die in Duqu verwendete Hauptkomponente ist darauf ausgelegt, Informationen wie Tastatureingaben und Systeminformationen abzufangen. Die exfiltrierten Daten können für einen zukünftigen Stuxnet-ähnlichen Angriff verwendet werden. Am 28. Dezember 2011 sprach der Direktor für globale Forschung und Analyse von Kaspersky Lab mit Reuters über aktuelle Forschungsergebnisse, die zeigen, dass die Plattform Stuxnet und Duqu beide aus dem Jahr 2007 stammen und aufgrund des ~d am Anfang der Dateinamen als Tilded bezeichnet werden. Außerdem wurde in dieser Untersuchung die Möglichkeit von drei weiteren Varianten aufgedeckt, die auf der Tilded-Plattform basieren. ⓘ

Flame

Im Mai 2012 wurde die neue Malware "Flame" entdeckt, von der angenommen wird, dass sie mit Stuxnet in Verbindung steht. Die Forscher nannten das Programm "Flame" nach dem Namen eines seiner Module. Nach einer Analyse des Codes von Flame stellte Kaspersky Lab fest, dass es eine enge Verbindung zwischen Flame und Stuxnet gibt. Eine frühe Version von Stuxnet enthielt Code zur Verbreitung von Infektionen über USB-Laufwerke, der nahezu identisch mit einem Flame-Modul ist, das dieselbe Schwachstelle ausnutzt. ⓘ

Militärische Kommando-, Kontroll-, Kommunikations- und Nachrichtendienste im Visier

Der ehemalige US-Verteidigungsminister William J. Perry und Tom Z. Collina, Direktor für Politik beim Ploughshares Fund, schrieben, dass es jeden Tag Tausende, vielleicht sogar Millionen von Angriffen auf die Nutzung des Internets durch das US-Militär und ähnliche, dem Verteidigungsministerium vorbehaltene Kommunikationsmittel gibt. Wenn ein Cyberangriff auf einen Atomwaffenstaat das tut, was die USA und Israel Berichten zufolge mit Stuxnet im Iran getan haben, könnte er die Führer dieses Landes davon überzeugen, dass sie mit Atomwaffen angegriffen werden, obwohl dies nicht der Fall ist. Dies könnte dazu führen, dass sie versehentlich einen Atomkrieg beginnen, weil sie glauben, dass sie nicht mehr in der Lage sind, angemessen zu reagieren, wenn sie auf weitere Informationen warten. ⓘ

Wäre das Ziel eines solchen Cybersecurity-Angriffs Indien oder Pakistan, würde der daraus resultierende Atomkrieg wahrscheinlich zu einem nuklearen Herbst führen, in dem etwa ein Viertel der Menschheit, von denen die meisten nicht direkt von den Nuklearexplosionen betroffen sind, verhungern könnte, wenn sie nicht schon früher an etwas anderem sterben würden. Wenn die Vereinigten Staaten, Russland oder China (oder vielleicht sogar das Vereinigte Königreich oder Frankreich) von einem solchen Cyberangriff betroffen wären, würde der daraus resultierende Atomkrieg wahrscheinlich einen nuklearen Winter auslösen, in dem 98 Prozent der Menschheit verhungern würden, wenn sie nicht vorher an etwas anderem sterben würden. ⓘ

Perry und Collina wiesen auch darauf hin, dass ein versehentlicher Atomkrieg viel wahrscheinlicher ist als ein russischer Erstschlag gegen die Vereinigten Staaten. Sie behaupteten, dass sich die großen Atomwaffenarsenale der Welt auf das falsche Problem konzentrieren. Zur Untermauerung dieser Behauptung führten sie mehrere Quellen an, darunter eine Studie des GAO, die ergab, dass viele fortschrittliche Waffensysteme in den USA kommerzielle und kostenlose Software verwenden, ohne die Standardpasswörter zu ändern. Hacker, die für das GAO arbeiteten, waren in der Lage, unbemerkt in DoD-Systeme einzudringen, indem sie teilweise Standardpasswörter aus dem Internet verwendeten. ⓘ

Medienberichterstattung

Seit 2010 haben die internationalen Medien ausführlich über Stuxnet und seine Folgen berichtet. In einem frühen Kommentar wies The Economist darauf hin, dass Stuxnet "eine neue Art von Cyberangriff" sei. Am 8. Juli 2011 veröffentlichte Wired einen Artikel darüber, wie Netzwerksicherheitsexperten die Ursprünge von Stuxnet entschlüsseln konnten. In diesem Artikel behauptete Kim Zetter, dass das "Kosten-Nutzen-Verhältnis von Stuxnet immer noch in Frage steht". Spätere Kommentatoren konzentrierten sich eher auf die strategische Bedeutung von Stuxnet als Cyberwaffe. Im Anschluss an den Wired-Artikel bezeichnete Holger Stark Stuxnet als "die erste digitale Waffe von geopolitischer Bedeutung, die die Art und Weise, wie Kriege geführt werden, verändern könnte". Eddie Walsh bezeichnete Stuxnet als "die neueste asymmetrische High-End-Bedrohung der Welt". Einige behaupten schließlich, dass die "umfangreiche Berichterstattung über Stuxnet in den Medien nur als Werbung für die von verschiedenen cyberkriminellen Gruppen genutzten Schwachstellen gedient hat". Das mag zwar zutreffen, aber die Medienberichterstattung hat auch das Bewusstsein für Cybersicherheitsbedrohungen geschärft. ⓘ

Der Dokumentarfilm Zero Days von Alex Gibney aus dem Jahr 2016 befasst sich mit dem Phänomen rund um Stuxnet. Eine Zero-Day-Schwachstelle (auch bekannt als 0-Day-Schwachstelle) ist eine Schwachstelle in Computersoftware, die denjenigen, die an der Behebung der Schwachstelle interessiert sein sollten (einschließlich des Herstellers der Zielsoftware), unbekannt ist oder von ihnen nicht behoben wird. Bis die Schwachstelle behoben ist, können Hacker sie ausnutzen, um Computerprogramme, Daten, weitere Computer oder ein Netzwerk zu schädigen. ⓘ

Im Jahr 2016 wurde bekannt, dass General James Cartwright, der ehemalige Leiter des Strategischen Kommandos der Vereinigten Staaten, Informationen über Stuxnet weitergegeben hatte. Später bekannte er sich der Lüge gegenüber FBI-Agenten schuldig, die eine Untersuchung des Lecks durchgeführt hatten. Am 17. Januar 2017 wurde er in diesem Fall von Präsident Obama vollständig begnadigt, wodurch seine Verurteilung aufgehoben wurde. ⓘ

In der Populärkultur

• In Castle, Staffel 8, Folge 18 "Backstabber" wird enthüllt, dass Stuxnet (fiktiv) vom MI-6 entwickelt wurde, und eine Version davon wird verwendet, um das Londoner Stromnetz lahmzulegen.
• Trojanisches Pferd ist ein Roman des Windows Utility-Autors und Romanautors Mark Russinovich. Darin wird der Stuxnet-Virus als Haupthandlungsstrang der Geschichte verwendet, und der Versuch des Irans, ihn zu umgehen.
• In Ghost in the Shell: Arise ist Stuxnet der namensgebende Computervirus, der Kusanagi und Manamura infiziert hat und es ermöglicht, ihnen falsche Erinnerungen zu implantieren.
• Im Juli 2017 veröffentlichte MRSA (Mat Zo) einen Track namens "Stuxnet" über Hospital Records.
• Im Ubisoft-Videospiel Tom Clancy's Splinter Cell: Blacklist aus dem Jahr 2013 nutzt der Protagonist Sam Fisher ein mobiles, fliegendes Hauptquartier ("Paladin"), das an einer Stelle im Story-Modus des Spiels von einem Stuxnet-ähnlichen Virus befallen wurde, wodurch seine Systeme ausfielen und das Flugzeug auf den Ozean zusteuerte und ohne Fishers Einschreiten abgestürzt wäre.
• In Michael Manns Film Blackhat aus dem Jahr 2015 ist der Code, der als Teil eines Virus gezeigt wird, mit dem ein Hacker die Explosion der Kühlmittelpumpen in einem Kernkraftwerk in Chai Wan, Hongkong, verursacht hat, tatsächlich ein dekompilierter Stuxnet-Code.
• In der dritten Episode von Star Trek: Discovery, "Context Is for Kings", identifizieren die Charaktere ein Codesegment als Teil eines experimentellen Transportsystems. Bei dem gezeigten Code handelt es sich um dekompilierten Stuxnet-Code. Ein ähnlicher Code wird in der achten Folge von The Expanse, "Pyre", gezeigt, diesmal als visuelle Darstellung eines "diagnostischen Exploits", der in die Steuerungssoftware für Atomraketen einbricht. ⓘ

Eigenschaften und Besonderheiten

Stuxnet gilt aufgrund seiner Komplexität und des Ziels, Steuerungssysteme von Industrieanlagen zu sabotieren, als bisher einzigartig. Die öffentlich verfügbaren Erkenntnisse basieren auf den Aussagen von IT-Fachleuten, die ausführbare Dateien der Schadsoftware analysierten. Die Beurteilungen basieren teilweise auf Interpretationen, da der Quelltext der Urheber nicht veröffentlicht ist. ⓘ

Aufgrund der Komplexität von Stuxnet wird ein für eine Schadsoftware außerordentlich hoher Entwicklungsaufwand vermutet. Der Zeitaufwand wird bei einer vorhandenen Testumgebung für Hard- und Software auf mindestens sechs Monate, der Personalaufwand auf mindestens fünf bis zehn Hauptentwickler sowie zusätzliches Personal für Qualitätssicherung und Management geschätzt. Neben dem Fachwissen für die Entwicklung der Software mussten Kenntnisse über unbekannte Sicherheitslücken und Zugang zu geheimen Signaturen zweier Unternehmen vorhanden sein. Die Unternehmen mit den frühesten Anzeichen einer Stuxnet-Infektion waren Zulieferer. Daher wurde das Schadprogramm indirekt, über das Partnernetzwerk eingeschleust. ⓘ

Die Einzigartigkeit von Stuxnet zum Zeitpunkt seiner Entdeckung zeigt sich insbesondere in der Art seiner Verbreitung durch

1. Ausnutzung mehrerer teilweise bis dahin unbekannter Sicherheitslücken der Microsoft-Betriebssysteme ab Windows 2000 bis zu Windows 7 oder Windows Server 2008 R2,
2. Installation eines Rootkits in diesen Betriebssystemen mit Hilfe gestohlener digitaler Signaturen der taiwanischen Hardware-Hersteller Realtek und JMicron Technology,
3. genaue Kenntnisse des Prozessvisualisierungssystems WinCC zur Überwachung und Steuerung technischer Prozesse mit Simatic S7 (engl. ICS: Industrial Control System) sowie
4. Installation eines weiteren Rootkits in der Steuerung (SPS, engl. PLC: Programmable Logic Controller) einer solchen PCS-7-Anlage. ⓘ

Infektionsweg

Der Stuxnet-Wurm wurde spätestens ab dem 15. November 2007 in Umlauf gebracht, die dazugehörigen Command-and-Control-Server wurden am 3. November 2005 registriert. Erstmals wurde Stuxnet im Juni 2010 von Sergej Ulasen vom belarussischen Unternehmen VirusBlokAda nach einem Hinweis eines iranischen Kunden identifiziert. Es kam bei einer dortigen Anlage zu Systemabstürzen und anderen Störungen. Seitdem wird die Funktionsweise der Schadsoftware von Herstellern von Sicherheitssoftware diskutiert. Auf der Virus Bulletin 2010 Conference wurde von Symantec der bisherige Kenntnisstand im W32.Stuxnet Dossier zusammengefasst, das aktualisiert wird, wenn neue Erkenntnisse vorliegen. Demnach greift Stuxnet Simatic-S7-Anlagen an, deren Konfiguration bestimmte Eigenschaften aufweist. ⓘ

Im Allgemeinen werden Simatic-Anlagen mit einem speziellen Notebook, dem „SIMATIC Field PG“, projektiert, in Betrieb genommen und gewartet. Auf einem solchen Programmiergerät (PG) ist neben dem Betriebssystem Software zur Programmierung mit STEP 7 und zur Prozessvisualisierung mit WinCC vorinstalliert. Außerdem ist das Gerät mit Ethernet-, USB- und PROFIBUS-Schnittstellen ausgerüstet. ⓘ

Die Projektierung und Entwicklung der HMI-Software (Human-Machine-Interface) findet innerhalb eines internen Netzwerkes (LAN) statt, dessen Internetzugang durch eine Firewall abgesichert ist. Auf einem Field-PG ist dazu mindestens ein STEP-7-Projektordner vorhanden. Die Kopplung mit einer SPS wird softwareseitig durch die Softwarebibliothek der WinCC-DLL (Dynamic Link Library) hergestellt. Zur Inbetriebnahme, Diagnose und Wartung wird das Field-PG mit der eigentlichen Steuerungsanlage verbunden. Diese ist in der Regel selten mit einem LAN oder gar mit dem Internet direkt verbunden. ⓘ

Anhand der technischen Eigenschaften von Stuxnet ergibt sich ein mögliches Angriffsszenario: Nach der Erstinfektion in einem Betrieb versucht Stuxnet sich innerhalb des LANs zu verbreiten, um Field-PGs ausfindig zu machen. Auf diesen werden alle STEP7-Projektordner als auch die WinCC-Bibliothek infiziert. Sobald ein betroffenes PG mit einer geeigneten Steuerungsanlage verbunden wird, versucht Stuxnet deren Programmierung zu verändern. Dies erfolgt vor den Operatoren versteckt: Stuxnet ist auch ein PLC-Rootkit. Für einen Computerwurm ist das Schadprogramm ungewöhnlich groß. Es führt allen benötigten Code mit sich, um sich mit einem Peer-to-Peer-Mechanismus selbst zu aktualisieren, ohne eine dauerhafte Internetverbindung zu benötigen. Zusätzlich gibt es Funktionen, um einem command and control server, wie in einem Botnet, Rückmeldungen geben zu können. ⓘ

Eingriff in die speicherprogrammierbare Steuerung

Eine Anlage der Familie SIMATIC S7-300 ⓘ

Die Programme für eine Simatic-S7-Steuerung sind in verschiedene Bausteine mit bestimmten Aufgaben aufgeteilt:

• Organisationsbausteine (OB) werden von der SPS-CPU zyklisch abgearbeitet, um Programme auszuführen. Besonders wichtig sind OB1 als zentraler Einstiegspunkt für jedes Programm und OB35 als standardmäßiger Watchdog-Timer.
• System-Daten-Bausteine (SDB) speichern den konkreten Aufbau einer bestimmten Anlagensteuerung. Hier wird die Konfiguration, beispielsweise Anzahl und Typ, der angeschlossenen Geräte hinterlegt.
• In den Datenbausteinen (DB) sind die Datenstrukturen der jeweiligen Programme abgelegt.
• Funktionsbausteine (FB) enthalten den eigentlichen Programmcode. ⓘ

Stuxnet überprüft vor einer Infektion die SPS auf verschiedene Eigenschaften und verhält sich dementsprechend unterschiedlich. Es wurden drei verschiedene Infektionsroutinen A, B und C festgestellt. Die Varianten A und B sind für die S7-300 mit CPU-Typ 315–2 und bestimmten in den SDBs definierten Werten ausgelegt. Diese beiden Varianten wurden inzwischen genauer untersucht. Über die deutlich komplexere Variante C für die S7-400 mit CPU-Typ 417 wurde bis November 2010 wenig bekannt, da der Programmcode anscheinend deaktiviert oder nur „teilweise fertig“ ist. ⓘ

Durch die Hilfe eines niederländischen Profibus-Experten konnte die Funktionsweise der Varianten A und B näher erklärt werden. Eine Infektion erfolgt nur dann, wenn der Programmbaustein FB1869 definiert und im SDB mindestens ein Profibus-Kommunikations-Modul CP-342-5 eingetragen ist. Bis zu sechs dieser Module steuern je 31 Frequenzumformer an, die die Drehgeschwindigkeit von Elektromotoren regeln. Durch die Implementierung eines endlichen Automaten mit sechs Zuständen verändert Stuxnet in unregelmäßigen Abständen von 13 Tagen bis zu drei Monaten die von den Umformern einzustellende Frequenz. Anhand der im SDB hinterlegten Identifikationsnummer wurde die Stuxnet-Variante A Frequenzumformern des Unternehmens Vacon aus Finnland, die Variante B dem Hersteller Fararo Paya in Teheran zugeordnet. ⓘ

Aktualisierungen und Abruf von Daten

Bei jeder Installation sammelt Stuxnet Informationen über den infizierten Computer und speichert diese verschleiert in einer eigenen Konfigurationsdatei. Unter anderem wird gespeichert:

• der Zeitpunkt der Infektion,
• die Versionsnummern von Betriebssystem und Service Pack,
• die IP-Adressen der Netzwerkschnittstellen,
• die Namen des Computers und der Windows-Workgroup oder -Domäne,
• und die Namen der infizierten Step7-Projekte. ⓘ

Durch eine Get-Anfrage über Port 80 an www.windowsupdate.com und www.msn.com prüft Stuxnet, ob eine Internet-Verbindung überhaupt möglich ist oder durch eine Firewall verhindert wird. Bei Erfolg werden die gesammelten Daten an die Adressen www.mypremierfutbol.com und www.todaysfutbol.com per Get index.php?data=[DATA] übertragen. Die Server dieser Domains hatten ihren Sitz in Dänemark und Malaysia. Für Stuxnet ist es möglich, sich über diese Mechanismen ähnlich wie in einem Botnetz zu aktualisieren, allerdings wurde dies noch nicht beobachtet. ⓘ

Vermutungen über die Urheber und Ziele

Experten und Ingenieure

IT-Sicherheitsspezialisten gehen davon aus, dass Stuxnet gezielt zur Sabotage iranischer Atomanlagen programmiert wurde. Der Aufwand für den Wurm sei gewaltig und teuer gewesen, zudem richte er nur in bestimmten Anlagen Schaden an, andere würden offenbar ohne Schaden lediglich infiziert. Als Verteiler käme vor allem die russische Atomstroiexport infrage. ⓘ

Laut Wieland Simon (Siemens) müssen an der Entwicklung des Wurms Experten und Ingenieure aus ganz unterschiedlichen Bereichen beteiligt gewesen sein – neben Windows-Programmierern auch Fachleute für Automatisierungstechnik und große Industrieanlagen. Nur ein solches Team wäre in der Lage, einen Schädling zu programmieren, der nacheinander mehrere technisch sehr unterschiedliche Hürden überwindet. ⓘ

Wegen des großen Programmieraufwandes wird von Jewgeni Kasperski, Liam O Murchu (Symantec) und anderen Fachleuten angenommen, dass der Wurm nicht von Privatpersonen, sondern vermutlich von einer staatlichen Organisation stammt. Auch die hohen Entwicklungskosten für den Wurm, die auf einen 7-stelligen Dollar-Betrag geschätzt werden, sprächen dafür. ⓘ

Zum Auftraggeber Vereinigte Staaten

Die New York Times veröffentlichte am 1. Juni 2012 einen Vorabauszug aus dem Buch Confront and Conceal: Obama’s Secret Wars and Surprising Use of American Power von David E. Sanger. Er stützt sich auf Interviews mit Beteiligten und folgert daraus, dass ein Cyberangriff mit Stuxnet noch zu Zeiten von US-Präsident George W. Bush begonnen worden sei. Barack Obama habe die Geheimaktion mit dem Codenamen „Operation Olympic Games“ (Olympische Spiele) noch beschleunigt, erst in seiner Amtszeit seien amerikanische und israelische Computerexperten mit dem komplexen Wurm fertiggeworden. Obama habe das Programm betreut und jeden weiteren Schritt persönlich autorisiert, schreibt Sanger. ⓘ

Ideengeber und Leiter des Projekts war vermutlich der US-General James E. Cartwright, der von 2007 bis 2011 der zweithöchste Offizier der Streitkräfte der USA war. Das US-Justizministerium gab im Juni 2013 bekannt, dass es Ermittlungen gegen den mittlerweile pensionierten Cartwright aufgenommen habe, da die Behörde vermutet, dass er als Projektleiter es selbst war, der im Jahr 2010 Informationen über die Existenz Stuxnets an die New York Times weitergegeben habe, was schließlich zur Enttarnung des Programms geführt hatte. Cartwright wurde nicht wegen Geheimnisverrats angeklagt, wohl aber Ende 2016 wegen einer Falschaussage bei den Ermittlungen. Er wurde jedoch im Januar 2017 noch vor einer Verurteilung von Präsident Barack Obama begnadigt und erhielt auch seine Geheimhaltungsstufe bestätigt. ⓘ

Trivia

Der Oscar-prämierte Regisseur Alex Gibney hat mit seinem Dokumentarfilm Zero Days die Entstehungsgeschichte von Stuxnet sowie deren Verbreitung und Nutzung verfilmt. ⓘ