Kaspersky: Stuxnet wurde nicht über USB-Sticks verbreitet
Der Computerwurm Stuxnet, der das iranische Atomprogramm sabotierte, hat nach einer Analyse von Sicherheitsforschern zuerst mehrere andere iranische Industrieunternehmen angegriffen. Stuxnet habe 2009 und 2010 fünf iranische Unternehmen infiziert, bevor der Wurm in die Atomanlagen des Landes gelangte, erklärten die Forscher von der russischen Sicherheitsfirma Kaspersky. Sie widersprachen auch der bisherigen Annahme, Stuxnet sei über einen manipulierten USB-Stick in Umlauf gebracht worden.
Demnach war das erste Opfer von Stuxnet die iranische Firma Foolad Technic Engineering, die Systeme zur Kontrolle von Industrieanlagen herstellt. Foolad sei am 23. Juni 2009 mit dem Wurm infiziert worden - nur wenige Stunden nach der Erstellung von Stuxnet.
Verbreitung via USB unmöglich
Der kurze Zeitabstand zwischen der Erstellung und dem ersten Angriff „schließt eine Infektion via USB-Stick fast vollständig aus“, schrieben die Fachleute. Ein USB-Datenträger hätte einfach nicht so schnell vom Ersteller zum ersten Opfer transportiert werden können.
Die Forscher untersuchten nach eigenen Angaben mehr als 2.000 Stuxnet-Dateien. In den Dateien habe der Wurm vermerkt, welche Computer er angefallen habe. So lasse sich sein Weg nachverfolgen.
Stuxnet hatte 2010 Steuerungssysteme in Atomanlagen im Iran befallen. Das Virus setzte Zentrifugen zur Urananreicherung zeitweilig außer Betrieb. Medienberichten zufolge steckten die USA und Israel hinter dem Cyber-Angriff. Offiziell bestätigt wurden diese Angaben nie.
Rasche Verbreitung
Der Wurm verbreitete sich allerdings auch außerhalb des Irans und befiel Firmen in anderen Ländern. Als Ursprung der weltweiten Verbreitung von Stuxnet sieht Kaspersky die Firma Behpajooh, die der Schädling Ende März 2010 erreicht habe. Auch diese Firma stelle Industriesysteme her. Eine Kettenreaktion habe dazu geführt, dass der Wurm auf weitere Computersysteme übergesprungen sei. Zwei weitere frühe Opfer, Neda und Jahed, arbeiten demnach ebenfalls mit Industrieanlagen.
Die fünfte direkt infizierte Firma ist nach Ansicht von Kaspersky wahrscheinlich Kalaye Electric. Kalaye stelle Zentrifugen für die Urananreicherung her. Die Firma sei im Mai 2010 von Stuxnet angegriffen worden. Wie das Schadprogramm von dort den Sprung zu den Atomanlagen machte, beschreiben die Forscher nicht.