Wiper (Iran)
Eine nie gefundene Lösch-Malware legte 2012 Systeme in Irans Ölsektor lahm – und führte zur Entdeckung von Flame.
Iran, April 2012: Das Ölministerium und das wichtigste Export-Terminal des Landes, Kharg Island, hängen an vernetzten IT-Systemen.
In 30 Sekunden
Im April 2012 fielen laut Berichten Computersysteme des iranischen Ölministeriums und des wichtigsten Öl-Export-Terminals des Landes, Kharg Island, aus – eine Lösch-Malware hatte Daten zerstört. Iran trennte seine Öl-Terminals daraufhin vorsorglich vom Internet. Das Besondere: Die Malware, später schlicht «Wiper» genannt, löschte auch sich selbst so gründlich, dass nie eine Probe gefunden wurde. Bei der Suche danach stiessen Kaspersky-Forscher stattdessen auf die grosse Spionage-Plattform Flame. Was genau geschah, ist bis heute nicht vollständig geklärt.
Was geschah
2012
Betroffen waren laut Berichten IT-Systeme des iranischen Ölministeriums, der staatlichen Ölgesellschaft und des Öl-Export-Terminals Kharg Island – also die Verwaltungsebene des für Iran wirtschaftlich zentralen Ölsektors.
Der Angriffsweg
- Im April 2012 fallen Computersysteme des iranischen Ölministeriums und weiterer Stellen des Ölsektors aus; laut Berichten wurden Festplatten-Daten gelöscht.
- Auch das Öl-Export-Terminal Kharg Island, über das ein Grossteil der iranischen Öl-Exporte läuft, ist betroffen.
- Iran trennt seine Öl-Terminals und weitere Einrichtungen vorsorglich vom Internet, um eine weitere Ausbreitung zu stoppen.
- Die Malware löscht neben den Daten auch ihre eigenen Spuren – so gründlich, dass später keine Probe der Schadsoftware sichergestellt werden kann.
- Auf Bitte der Internationalen Fernmeldeunion (ITU) untersucht Kaspersky die Vorfälle, findet den «Wiper» aber nie – nur indirekte Spuren auf einzelnen Datenträgern.
- Bei dieser Suche entdecken die Forscher stattdessen Flame, eine der grössten bis dahin bekannten Spionage-Plattformen.
Auswirkung
Mehrere Stellen des iranischen Ölsektors mussten tagelang ohne Teile ihrer IT arbeiten, Iran nahm Terminals vorsorglich vom Netz. Der Öl-Export lief laut damaligen Angaben dennoch weiter, da die Verladung nicht direkt von den betroffenen Systemen abhing. Der grösste Langzeit-Effekt war ein anderer: Die Suche nach der verschwundenen Malware brachte Flame ans Licht.
So schützt du dich
Fakten
- 2012 (April)
- Ölministerium Iran, Terminal Kharg Island
- Wiper (Lösch-Malware)
- löschte sich selbst – nie eine Probe gefunden
- Kaspersky, auf Bitte der ITU
- führte zur Entdeckung von Flame
- unbekannt, bis heute ungeklärt
Im Detail
Was im April 2012 geschah
Ende April 2012 meldete Iran Störungen in der IT des Ölministeriums und der staatlichen Ölgesellschaft: Systeme fielen aus, Daten waren gelöscht. Betroffen war laut Berichten auch Kharg Island – die Insel im Persischen Golf, über deren Terminal ein Grossteil der iranischen Öl-Exporte verschifft wird. Für ein Land, dessen Staatshaushalt am Öl hängt, ein Angriff auf einen empfindlichen Punkt.
Die Reaktion: Stecker ziehen
Iran trennte die Öl-Terminals und weitere Einrichtungen vorsorglich vom Internet. Das klingt drastisch, war aber die richtige Notbremse: Eine Ausbreitung auf weitere Systeme wurde gestoppt. Der Öl-Export lief laut damaligen Angaben weiter, weil die Verladung selbst nicht von den betroffenen Büro-Systemen abhing.
Eine Malware, die sich selbst auslöscht
Auf Bitte der Internationalen Fernmeldeunion (ITU) untersuchte Kaspersky die betroffenen Systeme. Das Ergebnis war für die Forscher frustrierend und faszinierend zugleich: Die Malware hatte nicht nur die Zieldaten zerstört, sondern auch sich selbst so gründlich entfernt, dass nie eine Probe sichergestellt werden konnte. Es blieben nur indirekte Spuren – etwa Reste von Dateinamen auf einzelnen Datenträgern. Bis heute existiert vom «Wiper» kein bekanntes Exemplar.
Der Nebeneffekt: Flame kommt ans Licht
Bei der Suche nach dem verschwundenen Wiper stiessen die Kaspersky-Forscher im Mai 2012 auf etwas anderes: Flame, eine hochkomplexe Spionage-Plattform, die jahrelang unentdeckt im Nahen Osten aktiv gewesen war. Ohne den Wiper-Vorfall wäre Flame möglicherweise noch lange unbemerkt geblieben – ein seltener Fall, in dem ein Angriff indirekt zur Aufdeckung eines anderen führte.
Wer steckt dahinter?
Die Urheberschaft ist bis heute nicht geklärt. Forscher fanden stilistische Ähnlichkeiten zu anderen im Nahen Osten aktiven Schadprogrammen jener Jahre, belastbare Beweise gibt es jedoch nicht. Der Fall zeigt: Manche Angriffe auf kritische Infrastrukturen bleiben für immer ohne Täter – die Verteidigung darf davon nicht abhängen.
Die Lehre
Wiper-Angriffe zielen auch auf den Energiesektor, und im Ernstfall bleibt womöglich nicht einmal eine Spur der Täter zurück. Was dann zählt, sind Vorkehrungen, die unabhängig vom Angreifer funktionieren: Offline-Backups, saubere Segmentierung, geübte Notfall-Abläufe – und schreibgeschützt gesicherte Log-Daten, damit wenigstens die Forensik eine Chance hat.
