Die Verbreitung von Stuxnet in den Jahren 2009 und 2010 (laut Kaspersky) © Kaspersky Labs

Experten des Sicherheitsunternehmens Kaspersky Lab wollen die ersten fünf Opfer des Computerwurms Stuxnet identifiziert haben. Ihrer Analyse zufolge waren in den Jahren 2009 und 2010 zunächst iranische Unternehmen betroffen, die als Zulieferer für das Atomprogramm des Landes galten. Anders als bislang angenommen wurde Stuxnet aber vermutlich nicht mit Hilfe von USB-Sticks in die Unternehmen geschleust.

Nach Angaben von Kaspersky Lab waren alle fünf Organisationen, die zu Beginn der Stuxnet-Kampagne attackiert wurden, im ICS-Bereich (Industrial Control Systems) im Iran tätig. Entweder hätten sie industrielle Steuerungssysteme entwickelt oder Materialien beziehungsweise Teile dazu geliefert. Die fünfte von Stuxnet infizierte Organisation sei besonders interessant, weil diese auch Uran-anreichernde Zentrifugen herstelle. "Das ist genau die Art von Anlagenteil, welche vermutlich das Hauptziel von Stuxnet war", heißt es in einer Mitteilung des Unternehmens.

Die Namen der Unternehmen wurden zuerst von der Wired-Journalistin Kim Zetter veröffentlicht: Ihr Buch Countdown to Zero Day ist gerade erschienen, darin beschreibt sie die ganze Geschichte des Stuxnet-Wurms. Mitarbeiter von Kaspersky Lab hatten ihr nach Unternehmensangaben bei der Recherche geholfen, nun veröffentlichen die Russen bisher unbekannte technische Details.

Infektion innerhalb weniger Stunden

Kaspersky Lab untersuchte für die Studie rund 2.000 Stuxnet-Dateien über zwei Jahre lang. Demnach datiere die erste Version des Programms vom 22. Juni 2009. Nur wenige Stunden nach seiner Fertigstellung habe der Wurm den ersten Computer infiziert. Es könne daher praktisch ausgeschlossen werden, dass das Programm per USB-Stick verbreitet worden sei – der Zeitraum dafür sei viel zu kurz gewesen.

Nach Informationen der New York Times hatten die Entwickler von Stuxnet – dem Bericht zufolge und nach Meinung weiterer Experten waren das Israel und die USA – Informationen über die Atomanlage Natans mithilfe von USB-Implantaten gesammelt. Das würde aber der Behauptung von Kaspersky nicht widersprechen, denn der eigentliche Wurm soll auch nach Erkenntnissen der New York Times auf anderem Wege in die Anlage gelangt sein. 

Der mögliche Ausgangspunkt für die Verbreitung von Stuxnet

Zufällig hieß der erste infizierte Computer Kaspersky, so dass die Experten zunächst vermuteten, die dazu gehörige Domain ISIE könne sogar zu einem russischen Unternehmen gehört haben. Mit hoher Wahrscheinlichkeit habe der Rechner aber in dem iranischen Unternehmen Foolad Technic Engineering Co (FIECO) gestanden, heißt es weiter. Dieses stelle automatische Industriesysteme her, beispielsweise für die Stahl- und Energieindustrie.

Auch das zweite Unternehmen, Behpajooh Co. Elec & Comp. Engineering, stelle Industriesysteme her und solle einige Jahre zuvor in den Schmuggel von Waffenkomponenten in den Iran verwickelt gewesen sein. Das Unternehmen sei von drei Angriffswellen betroffen gewesen. Die mittlere, vom März 2010, soll der Ausgangspunkt für die massenhafte Verbreitung von Stuxnet im selben Jahr gewesen sein. Zwei weitere frühe Opfer waren laut Kaspersky die Neda Industrial Group und die Control-Gostar Jahed Company, die jeweils im Juli 2009 infiziert wurden.