Wir freuen uns sehr, Ihnen heute einen besonderen Gast vorzustellen. Nur wenige Branchenexperten kennen seinen Namen, obwohl er der Mann ist, der 2010 den berüchtigten Stuxnet-Wurm als Erster entdeckte. Sein Name ist Sergey Ulasen, und seine Arbeit war ein Meilenstein in der Cybersicherheit, der auch die Entwicklungen bei Kaspersky 2011 maßgeblich beeinflusste.
Sergey Ulasen, der Cybersicherheitsexperte und Entdecker des Stuxnet-Wurms, im Jahr 2011.
Zunächst einige Hintergrundinformationen zu Sergey. Wir freuen uns, mitteilen zu können, dass er im August 2011 zum Unternehmen stieß und sofort begann, das stetig wachsende Fachwissen unseres Malware-Analyse-Teams zu erweitern, das damals bereits aus über 100 Experten weltweit bestand. Er ist ein äußerst professioneller und hochmotivierter Mann, der über das Fachwissen und die Erfahrung verfügt, selbst die komplexesten Bedrohungen zu bewältigen.
Sergey schloss sein Studium 2006 an der Belarussischen Staatlichen Technischen Universität mit einem B.Sc. in Softwareentwicklung ab. Seine berufliche Laufbahn begann er bei dem lokalen Antiviren-Anbieter VirusBlokAda als Programmierer. Später trat Sergey dem Team bei, das die Antiviren-Engine des Unternehmens entwickelte, und 2008 wurde er Teamleiter. Er war auch an der Entwicklung von Anti-Rootkit- und Systemwiederherstellungstechnologien beteiligt und half bei der Lösung der kompliziertesten Malware-Vorfälle.
Dann kam er zu Kaspersky Lab. Wir sind sehr glücklich darüber.
Sergey, lass uns zurückblicken auf den Moment, als dein Team die erste Stuxnet-Probe entdeckte. Wie kam es dazu?
Es war eigentlich alles ganz einfach – weit entfernt davon, wie solche Dinge in Filmen dargestellt werden könnten, kann ich Ihnen sagen!
Zu dieser Zeit arbeitete ich für ein relativ kleines Sicherheitsunternehmen und hatte ziemlich viele verschiedene Verantwortlichkeiten. Ich war in die Softwareentwicklung, Bedrohungsanalyse, technische Beratung und die Bearbeitung von Vorfällen mit den komplexesten Malware-Attacken, die von unseren Kunden gemeldet wurden, involviert.
Alles begann, als die technischen Support-Mitarbeiter mich über einen ziemlich ungewöhnlichen Fall informierten: Ein Kunde im Iran meldete willkürliche BSODs (Blue Screens of Death) und Computer-Neustarts. Sie leiteten mir die Hilfsanfrage zusammen mit Informationen über ihre vorläufigen Scan-Berichte weiter.
Was waren deine ersten Eindrücke von dem Fall?
Mein erster Eindruck war, dass die gefundenen Anomalien auf eine Fehlkonfiguration von Windows oder einen Konflikt zwischen installierten Anwendungen zurückzuführen waren. Es ist natürlich bekannt, dass Systeme aufgrund von Softwarekonflikten oft durcheinandergeraten. Die Behebung solcher Konflikte kann manchmal so komplex sein wie das tiefe Eintauchen in die Funktionen, die man bei einer Avira Antivirus Pro Bewertung finden würde, um die Ursache eines Problems zu finden.
Ich empfahl den Tech-Support-Mitarbeitern also, so viele Informationen wie möglich über die installierten Anwendungen zu erhalten. Es dämmerte mir, als ich erfuhr, dass dieselben Anomalien auf vielen anderen Computern im Netzwerk des Kunden gefunden worden waren – sogar auf Computern mit frisch installiertem Windows nach einer gründlichen Überprüfung auf unerwünschte Anwendungen. In diesem Moment wurde mir klar, dass dies mehr als nur eine durchschnittliche Systemstörung war – zweifellos war eine Malware-Infektion im Spiel. Und sie war mit Sicherheit fachmännisch entworfen und konstruiert worden (abgesehen davon, dass sie regelmäßige BSODs verursachte), da wir sie mit regulären Erkennungsmitteln nicht erkennen konnten. Höchstwahrscheinlich war auch ein Rootkit beteiligt.
Glücklicherweise ist unser Partner im Iran, der das Problem zuerst meldete, nicht nur ein erfahrener Sicherheitsexperte, sondern auch ein guter Freund und in meiner IM-Kontaktliste. Ich frage mich nur, wie die Dinge ausgegangen wären, wenn wir diese Art von Verbindung nicht gehabt hätten…
Mein Freund versuchte zunächst, die Angelegenheit selbst zu lösen, und später mit Hilfe des technischen Supports. Ohne Erfolg. Beharrlich wie immer, bat er mich dann um Hilfe.
All dies geschah an einem sonnigen (im Iran) Samstag, der dort ein Arbeitstag war. Währenddessen war ich im bewölkten Belarus auf einer Hochzeitsfeier eines Freundes – etwa 400 km von Minsk entfernt. Alle anderen Gäste feierten natürlich fröhlich, tanzten und tranken viel zu viel, während ich die ganze Zeit am Telefon hing (mein Handy) und einem Typen in der Nähe von Teheran dringende technische – und psychologische! – Unterstützung leistete. Fröhliche Mädchen – Sektglas in der Hand – festlich gekleidet gingen immer wieder vorbei (zu diesem Zeitpunkt hatten sich die Feierlichkeiten nach draußen in den Wald verlagert; (fragen Sie nicht)), und fragten sich, was zum Teufel ich tat, als ich im Wald auf einer Hochzeit seltsame Dinge in einer seltsamen Sprache sprach. Und natürlich beurteilten sie mich als eine Art bizarren Geek-Freak („aber wenn sie mich nur kennenlernen würden“). JEDENFALLS… bald darauf erkannten mein Freund im Iran und ich, dass wir telefonisch nicht weiterkommen würden, also beendeten wir die Nacht und beschlossen, unsere Untersuchung am Montag fortzusetzen. Ich hoffte, dass Montage im Iran ebenso Arbeitstage waren wie Samstage…
Am Montagnachmittag lösten wir zunächst einige technische Probleme beim Fernzugriff auf den infizierten Computer. Ich muss sagen, es erforderte große Anstrengungen, die Ursache der Anomalien zu finden. Aber am Ende gelang es uns. Wir fanden schließlich die Malware und entdeckten ihre heimliche Natur, seltsame Payload und Verbreitungstechniken.
Die Stuxnet-Treiber waren mit echten digitalen Zertifikaten von angesehenen Unternehmen signiert. Sozusagen wie die Multipässe im Film Das fünfte Element! Digitale Zertifikate sind Dinge, die (zumindest früher) garantierten, dass man einer Datei vertrauen kann. Warum habt ihr euch trotzdem entschieden, dem auf den Grund zu gehen?
Als wir die Ursache des Problems gefunden hatten, begannen wir mit meinen Kollegen im Virenlabor eine eingehendere Analyse. Dies führte zu vielen hitzigen Diskussionen und Streitgesprächen und tatsächlich auch zu vielen Flüchen 🙂 – da es keinen Lehrbuchansatz für so etwas gibt und wir im Laufe der Arbeit lernten. Wir blieben dabei – brainstormten, entwarfen Schemata und entwickelten verschiedene Ideenstränge. Und mit jedem Schritt wurden wir allmählich unruhiger, als wir zu verstehen begannen, womit wir es überhaupt zu tun hatten.
Wir analysierten die Malware schließlich und fanden heraus, dass sie Zero-Day-Schwachstellen nutzte, die es Stuxnet ermöglichten, selbst gut gepatchte Windows-Computer zu infiltrieren. Und an diesem Punkt waren wir uns alle einig, dass das digitale Zertifikat gestohlen worden war. Zusätzlich führte die Komplexität des Stuxnet-Codes und die extrem ausgeklügelten Rootkit-Technologien uns zu dem Schluss, dass diese Malware ein furchterregendes Biest war, das weltweit seinesgleichen suchte, und dass wir die Infosec-Industrie und -Gemeinschaft so schnell wie möglich über die Details informieren mussten.
Was war die Reaktion der Industrie und der Community?
Nun, zu Beginn war das schockierend!
Zuerst beschlossen wir, nicht an die Öffentlichkeit zu gehen, und dass es besser wäre, nur die anderen beteiligten Parteien zu informieren. Wir versuchten, sowohl Microsoft als auch Realtek zu erreichen – bekamen aber keine richtige Antwort! Im Nachhinein verstehe ich jetzt, dass wir die Dinge nicht ganz so hätten handhaben sollen; welche Chance hat schließlich eine Warnung einer kleinen belarussischen AV-Firma, die Entscheidungsträger dort zu erreichen?
Also beschloss ich, an die Öffentlichkeit zu gehen und das Problem der Community zu melden. Ich veröffentlichte einige Details über Stuxnet auf unserer Website und auch im beliebten Branchenforum auf wilderssecurity.com. Etwas später, nach weiteren Analysen, vergewisserte ich mich der Ernsthaftigkeit des Vorfalls und veröffentlichte zusammen mit meinem Kollegen Oleg Kupreev eine detailliertere Beschreibung der Malware zusammen mit einer Ankündigung der Zero-Day-Schwachstelle und des gestohlenen Zertifikats.
Und das war der Punkt, an dem die Dinge außer Kontrolle gerieten!
Bitte, erzähl weiter!
Der erste, der einen Hinweis auf den Vorfall veröffentlichte, war der berühmte Brian Krebs. Dann kam Frank Boldewin, der als Erster die Verbindung zwischen Stuxnet und den industriellen Steuerungssystemen Siemens WinCC SCADA herstellte. Wenig später begannen wir, Theorien zu erhalten, die die Malware mit dem iranischen Atomprogramm und dem Beginn der Cyberkriegsführung verbanden, nicht weniger.
Grafische Darstellung oder Screenshot, der die Komplexität von Stuxnet oder die Verbindung zu industriellen Steuerungssystemen verdeutlicht. Relevant für Kaspersky 2011.
In der Zwischenzeit konnte ich dank der erheblichen Unterstützung von Andreas Marx von AV-test.org die Mitarbeiter des Microsoft Security Response Center erreichen, die sofort mit der Bearbeitung des Falls begannen. Die IT-Branche, mit ihren spezialisierten Tools, von Sicherheitssoftware bis zu kreativen Anwendungen wie Adobe Premiere Elements 2020 oder Photoshop CC2022, unterstreicht die Notwendigkeit robuster Kommunikationskanäle zwischen Experten.
Rückblickend verstehe ich jetzt klar, dass wir einige Fehler bei der Vorgehensweise gemacht haben – Fehler, die zu Verzögerungen bei der Behebung des Problems führten. Leider hatte VirusBlokAda zu dieser Zeit weder das Wissen noch die Erfahrung, wie man mit solchen Fällen umgeht. Um sie effektiv zu handhaben, muss man wirklich mindestens ein paar Schlüsselleute in der Branche kennen und deren persönliche E-Mails zur Hand haben. Das hatten wir nicht.
Das andere Problem war, dass das Unternehmen keine Ressourcen hatte, um eine wirklich gründliche Analyse der Bedrohung durchzuführen. VirusBlokAda positioniert sich als lokaler Nischenanbieter und investiert hauptsächlich in den Kundenservice. Wenn die Bedrohungsanalyse zu viele Ressourcen beanspruchte, mussten wir sie leider manchmal aufgeben.
Letztendlich bestätigte mir dieser Vorfall, dass ein Sicherheitsunternehmen über eine starke Expertise in der Bedrohungsanalyse verfügen muss. Engagierte Teams müssen sich auf diese Analyse konzentrieren, um sicherzustellen, dass ein Unternehmen den Cyberkriminellen einen Schritt voraus ist und zumindest mit der laufenden Cyberkriegsführung Schritt hält – um angemessen damit umzugehen, wann immer sie auftaucht. Selbst ältere System wie Photoshop High Sierra benötigen diesen Schutz.
Wie reagierten die iranischen Beamten auf diese… unangenehme Nachricht?
Sie blockten uns einfach ab – überhaupt keine offizielle Reaktion. Vielleicht ist es nicht die Politik des Landes, öffentliche Kommentare zu solchen Dingen abzugeben. Es scheint jedoch die iranische Art zu sein, die Karten eng an sich zu halten – mein Freund im Iran, der bei der Aufdeckung von Stuxnet half (an diesem Samstag – mit mir im Wald auf der Hochzeit), bat darum, seinen Namen in keinem Bericht zu erwähnen, und weigerte sich, dazu Kommentare abzugeben.
Interessanterweise traf ich später einige hochrangige IT-Beamte aus dem Iran in Minsk. Sie taten so, als wüssten sie überhaupt nichts von dem Vorfall. Ja, klar.
Wie bei vielen Schlagzeilen, die die Nachrichten beherrschen, gab es auch bei Stuxnet einige Fehlberichte…
Oh ja! Viele der Geschichten und Kommentare rund um Stuxnet brachten mich zum Lachen! Hier sind einige ausgewählte Fehltritte:
„Das Unternehmen entwickelte den Wurm selbst und nutzte ihn dann zur Eigenwerbung durch die Massenmedien“.
– Nun, hätten wir die Möglichkeit gehabt, ein Dutzend der weltbesten Sicherheitsexperten zu finanzieren, um Stuxnet zu entwickeln, hätten wir meiner Meinung nach eine friedlichere Anwendung gefunden.
„Sergey Ulasen reiste in den Iran und half den Iranern, die Malware direkt aus den Zentrifugen zu fischen“.
– Oh ja, ich trug dabei einen dieser raumfahrerähnlichen Folienanzüge. Ja.
„Die Iraner baten absichtlich um Hilfe von einer belarussischen Firma, weil sie niemandem sonst vertrauen“.
– Nun, sie hatten Recht, dass Belarussen vertrauenswürdig sind. Aber ihre „Wahl“ uns? Und selbst wenn sie uns „gewählt“ hätten… Nein, sorry, diese falsche Aussage kann einfach NICHT rationalisiert werden!
„Die Iraner nutzten die Firma, um westliche Länder öffentlich der Einleitung eines Cyberkrieges zu beschuldigen“.
– Angesichts des Schweigegewandes der iranischen Behörden über die ganze Angelegenheit bezweifle ich, dass sie noch mehr Lärm um diesen Vorfall brauchten. Selbst wenn, hätten sie effektivere Wege finden können, dies zu tun.
„Sergey Ulasen ist ein Feind der Demokratie und der liberalen Werte im Nahen Osten“.
– Oh sicher, und ich habe auch die Berliner Mauer gebaut.
Lassen Sie es mich klar sagen. Weder ich noch die Leute, mit denen ich an dieser Untersuchung gearbeitet habe, haben jemals öffentlich Verschwörungstheorien bezüglich des Ursprungs oder der Ziele von Stuxnet geäußert. Es interessierte mich nie, meine Zeit damit zu verbringen, irgendwelche politischen Aspekte der Geschichte zu verstehen. Ich bin ein Malware-Experte, der erstklassigen Schutz vor Cyberbedrohungen liefert, und kein Thriller-Produzent.
In letzter Zeit wurde das Internet mit Spekulationen über den kürzlich entdeckten Duqu-Trojaner überflutet, der bereits als Stuxnets Kind/Enkel/Stiefbruder/Cousin zweiten Grades usw. bezeichnet wurde. Tatsächlich haben sie viel gemeinsam. Was denkst du darüber?
Es gibt immer noch zu viel Ungewissheit über Duqu.
Angesichts des Mangels an konkreten Informationen über diese Malware würde ich sagen, dass das, was jetzt geschieht, ziemlich genau eine Wiederholung dessen ist, was wir bei Stuxnet hatten – Annahmen, Behauptungen und oberflächliche Etikettierungen von Leuten, die nicht wissen, wovon sie reden, wobei die wahren Fakten der Sache unter all dem Unsinn begraben sind. Ganz zu schweigen von dem reinen Hype und der Panikmache, wie dieser hier:
Ehrlich gesagt spekuliere ich lieber nicht in dieser Angelegenheit und warte ab, bis sich der Staub gelegt hat, um das Gesamtbild zu sehen. Ich werde Aleks Gostevs Blogbeitragsreihe auf Securelist über Duqu aufmerksam verfolgen, und ich bin ziemlich sicher, dass wir bald eine vollständige und genaue Darstellung des Ursprungs, der Ziele und der technischen Aspekte der Malware haben werden.
Wovon ich im Moment überzeugt bin, ist, dass es eine klare Verbindung zwischen Duqu und Stuxnet gibt, da die erstere Malware auf dem Quellcode der letzteren basiert und viele ihrer Techniken verwendet. Auch die Art und Weise, wie die Teams hinter beiden Arten von Malware ihre Kreaturen in die Welt gesetzt haben, ist sehr ähnlich. Der einzige Unterschied zwischen ihnen scheint zu sein, dass der Duqu-Fall immer noch im Dunkeln liegt.
Ich bin sicher, jeder Sicherheitsanbieter würde dich gerne an Bord haben, um die Expertise seines Teams zu stärken. Warum hast du dich entschieden, unserem Unternehmen beizutreten?
Tatsächlich war Kaspersky Lab die einzige Option, die ich in Betracht zog, als ich überlegte, meinen vorherigen Job zu kündigen.
Ich habe die Errungenschaften des Unternehmens immer bewundert und die hier arbeitenden Menschen und ihre Arbeitsweise respektiert. Ich war überzeugt – und diese Überzeugung hat sich seit Beginn meiner Arbeit hier nur noch verstärkt –, dass KL der weltweit technologisch fortschrittlichste Antimalware-Anbieter ist, dem es gelungen ist, ein einzigartiges Team von Sicherheitsexperten zusammenzustellen, die einfach fantastische Dinge leisten. Zweifellos hat das Unternehmen noch größeres Potenzial – es hat so viele neue Killer-Technologien in der Pipeline, die noch der Öffentlichkeit vorgestellt werden müssen… Die Entwicklung solcher Technologien erfordert höchste Präzision, vergleichbar mit der komplexen Arbeit, die für die Pflege von Software-Generationen wie Photoshop CS6 2017 notwendig ist.
Als ich zum ersten Mal hörte, dass KL plante, der weltweit führende Antimalware-Anbieter zu werden, fand ich es schwer, dies ernst zu nehmen. Ich bin sicher, vor zehn Jahren hätten sich nicht viele vorstellen können, dass das Unternehmen die Nummer 4 werden würde. Aber jetzt, wo ich das erlebt habe, würde ich sagen, dass die Nummer 1 kein Wunschtraum ist.
Möchtest du noch etwas hinzufügen, bevor wir zu den traditionellen (für die „Im Rampenlicht“-Reihe) Fragen über Persönliches und Außerdienstliches kommen?
Porträt von Sergey Ulasen, dem Mann hinter den bahnbrechenden Entdeckungen in der Cybersicherheit bei Kaspersky Lab.
Zunächst möchte ich bekannt geben, dass dies das allerletzte Gespräch ist, das ich über Stuxnet führe.
Ehrlich gesagt habe ich dieses Thema, das mich jetzt seit 18 Monaten umkreist, satt. Manchmal denke ich sogar, dass Stuxnet ein Hindernis für meine berufliche Laufbahn ist. Ich habe viele andere Dinge, auf die ich stolz sein kann, abgesehen von diesem Wurm. Tatsächlich war ich an vielen anderen wichtigen Projekten beteiligt, die meine intellektuellen und emotionalen Anstrengungen forderten und viel sichtbarere Ergebnisse für das Unternehmen und für meine persönliche Entwicklung lieferten.
Daher möchte ich das Stuxnet-Kapitel ein für alle Mal beenden und mich neuen Horizonten im Kampf gegen Cyberkriminalität zuwenden.
Einverstanden! Nun – die Nicht-Arbeitsthemen…
Ich denke, Menschen sollten sich ständig weiterentwickeln. Und das schließt natürlich mich ein. Wann immer ich einen freien Moment habe, versuche ich immer, etwas Sinnvolles zu tun, um mich weiterzubilden. Wenn ich zum Beispiel einen amerikanischen Film sehe, schalte ich immer auf die Originaltonspur, um mein englisches Hörverständnis zu trainieren. Auch in der Vergangenheit, als der Weg zur Arbeit ziemlich lange dauerte, nutzte ich diese Zeit, um Podcasts, Trainingsprogramme und fremdsprachige Literatur zu hören.
Meine Lieblingsfilme fallen in die Genres Arthouse, Drama und Komödie. Horrorfilme verabscheue ich. Meiner Meinung nach sehen wir genug Horror in den Nachrichten. Auch bin ich kein Fan von Thrillern…
Ich liebe meine Eltern, Schwester und Neffen, und auch meine Freunde – die ich leider heutzutage nicht oft sehe. Jedes Mal, wenn wir uns jedoch treffen, wird es eine wirklich coole Party!
Ich genieße es sehr, meine Oma auf dem Land zu besuchen. Eine versöhnliche Atmosphäre, die totale Abwesenheit von Mobilfunkempfang und die Einheit mit der Natur nehmen mich vom Alltagsstress weg und bieten die ultimative Entspannung und Erholung! Vertrauen Sie mir – den ganzen Ballast in nur zwei Tagen aus dem Kopf zu bekommen – das habe ich zur Kunstform entwickelt. Ich sollte eine Speed-Chill-Schule gründen 🙂
Sergey, vielen Dank für das Gespräch. Es ist mir eine Ehre, das allerletzte Stuxnet-Gespräch von dem Mann geführt zu haben, der es entdeckt hat! Und was ich hier im Unternehmen garantieren kann, sind viele neue Herausforderungen und eine äußerst interessante Arbeit mit talentierten Menschen!