// Security

Wiper (Iran)

Eine nie gefundene Lösch-Malware legte 2012 Systeme in Irans Ölsektor lahm – und führte zur Entdeckung von Flame.

Wiper (2012): eine bis heute nicht wiedergefundene Lösch-Malware störte Irans Ölministerium und das Terminal Kharg Island – die Suche danach führte zur Entdeckung von FlameMalware«Wiper»MinisteriumÖlministeriumKharg IslandÖl-TerminalAufbauIran, April 2012: Das Ölministerium und das wichtigste Export-Terminal desLandes, Kharg Island, hängen an vernetzten IT-Systemen.
Tempo:

Schritt 1 von 6

Iran, April 2012: Das Ölministerium und das wichtigste Export-Terminal des Landes, Kharg Island, hängen an vernetzten IT-Systemen.

In 30 Sekunden

Im April 2012 fielen laut Berichten Computersysteme des iranischen Ölministeriums und des wichtigsten Öl-Export-Terminals des Landes, Kharg Island, aus – eine Lösch-Malware hatte Daten zerstört. Iran trennte seine Öl-Terminals daraufhin vorsorglich vom Internet. Das Besondere: Die Malware, später schlicht «Wiper» genannt, löschte auch sich selbst so gründlich, dass nie eine Probe gefunden wurde. Bei der Suche danach stiessen Kaspersky-Forscher stattdessen auf die grosse Spionage-Plattform Flame. Was genau geschah, ist bis heute nicht vollständig geklärt.

Was geschah

Jahr

2012

Ziel

Betroffen waren laut Berichten IT-Systeme des iranischen Ölministeriums, der staatlichen Ölgesellschaft und des Öl-Export-Terminals Kharg Island – also die Verwaltungsebene des für Iran wirtschaftlich zentralen Ölsektors.

Der Angriffsweg

  1. Im April 2012 fallen Computersysteme des iranischen Ölministeriums und weiterer Stellen des Ölsektors aus; laut Berichten wurden Festplatten-Daten gelöscht.
  2. Auch das Öl-Export-Terminal Kharg Island, über das ein Grossteil der iranischen Öl-Exporte läuft, ist betroffen.
  3. Iran trennt seine Öl-Terminals und weitere Einrichtungen vorsorglich vom Internet, um eine weitere Ausbreitung zu stoppen.
  4. Die Malware löscht neben den Daten auch ihre eigenen Spuren – so gründlich, dass später keine Probe der Schadsoftware sichergestellt werden kann.
  5. Auf Bitte der Internationalen Fernmeldeunion (ITU) untersucht Kaspersky die Vorfälle, findet den «Wiper» aber nie – nur indirekte Spuren auf einzelnen Datenträgern.
  6. Bei dieser Suche entdecken die Forscher stattdessen Flame, eine der grössten bis dahin bekannten Spionage-Plattformen.

Auswirkung

Mehrere Stellen des iranischen Ölsektors mussten tagelang ohne Teile ihrer IT arbeiten, Iran nahm Terminals vorsorglich vom Netz. Der Öl-Export lief laut damaligen Angaben dennoch weiter, da die Verladung nicht direkt von den betroffenen Systemen abhing. Der grösste Langzeit-Effekt war ein anderer: Die Suche nach der verschwundenen Malware brachte Flame ans Licht.

So schützt du dich

Halte Offline-Backups vor, die von einer Lösch-Malware im Netz nicht erreicht werden können.
Segmentiere kritische Systeme, damit sich ein Vorfall nicht über den ganzen Sektor ausbreitet.
Bereite das kontrollierte Trennen vom Netz als Notfall-Massnahme vor und übe den Ablauf – im Ernstfall zählt jede Stunde.
Sichere forensische Daten (Logs, Datenträger-Abbilder) zentral und schreibgeschützt, damit Angreifer ihre Spuren nicht restlos tilgen können.
Übe den Wiederanlauf aus Backups regelmässig – ein Backup, das nie getestet wurde, ist nur eine Hoffnung.

Fakten

Jahr
2012 (April)
Betroffen
Ölministerium Iran, Terminal Kharg Island
Typ
Wiper (Lösch-Malware)
Besonderheit
löschte sich selbst – nie eine Probe gefunden
Untersuchung
Kaspersky, auf Bitte der ITU
Nebeneffekt
führte zur Entdeckung von Flame
Urheber
unbekannt, bis heute ungeklärt

Im Detail

Was im April 2012 geschah

Ende April 2012 meldete Iran Störungen in der IT des Ölministeriums und der staatlichen Ölgesellschaft: Systeme fielen aus, Daten waren gelöscht. Betroffen war laut Berichten auch Kharg Island – die Insel im Persischen Golf, über deren Terminal ein Grossteil der iranischen Öl-Exporte verschifft wird. Für ein Land, dessen Staatshaushalt am Öl hängt, ein Angriff auf einen empfindlichen Punkt.

Die Reaktion: Stecker ziehen

Iran trennte die Öl-Terminals und weitere Einrichtungen vorsorglich vom Internet. Das klingt drastisch, war aber die richtige Notbremse: Eine Ausbreitung auf weitere Systeme wurde gestoppt. Der Öl-Export lief laut damaligen Angaben weiter, weil die Verladung selbst nicht von den betroffenen Büro-Systemen abhing.

Eine Malware, die sich selbst auslöscht

Auf Bitte der Internationalen Fernmeldeunion (ITU) untersuchte Kaspersky die betroffenen Systeme. Das Ergebnis war für die Forscher frustrierend und faszinierend zugleich: Die Malware hatte nicht nur die Zieldaten zerstört, sondern auch sich selbst so gründlich entfernt, dass nie eine Probe sichergestellt werden konnte. Es blieben nur indirekte Spuren – etwa Reste von Dateinamen auf einzelnen Datenträgern. Bis heute existiert vom «Wiper» kein bekanntes Exemplar.

Der Nebeneffekt: Flame kommt ans Licht

Bei der Suche nach dem verschwundenen Wiper stiessen die Kaspersky-Forscher im Mai 2012 auf etwas anderes: Flame, eine hochkomplexe Spionage-Plattform, die jahrelang unentdeckt im Nahen Osten aktiv gewesen war. Ohne den Wiper-Vorfall wäre Flame möglicherweise noch lange unbemerkt geblieben – ein seltener Fall, in dem ein Angriff indirekt zur Aufdeckung eines anderen führte.

Wer steckt dahinter?

Die Urheberschaft ist bis heute nicht geklärt. Forscher fanden stilistische Ähnlichkeiten zu anderen im Nahen Osten aktiven Schadprogrammen jener Jahre, belastbare Beweise gibt es jedoch nicht. Der Fall zeigt: Manche Angriffe auf kritische Infrastrukturen bleiben für immer ohne Täter – die Verteidigung darf davon nicht abhängen.

Die Lehre

Wiper-Angriffe zielen auch auf den Energiesektor, und im Ernstfall bleibt womöglich nicht einmal eine Spur der Täter zurück. Was dann zählt, sind Vorkehrungen, die unabhängig vom Angreifer funktionieren: Offline-Backups, saubere Segmentierung, geübte Notfall-Abläufe – und schreibgeschützt gesicherte Log-Daten, damit wenigstens die Forensik eine Chance hat.