Willem van der Craats, corporate ICT-manager van Vanderlande Industries uit Veghel, heeft slechts vaag gehoord van Stuxnet. Maar na ruggespraak blijkt dat de geavanceerde worm ook systemen van zijn concern heeft aangevallen. "Ik heb navraag gedaan, en op onze systemen in India en Engeland is inderdaad Stuxnet aangetroffen. We hebben het verholpen, want de antivirussoftware heeft het afgevangen," vertelt Van der Craats opgelucht.

Bagagesysteem Schiphol

Vanderlande Industries is geen kleintje. Het concern zet ruim een half miljard euro per jaar om en heeft vestigingen in tien Europese landen, de VS, China en India. Vanderlande maakt geavanceerde sorteer- en distributiesystemen voor de industrie, de transportsector en luchthavens. Schiphol, Heathrow en Charles de Gaulle gebruiken bagagesystemen van Vanderlande.

De innovatieve Veghelse technologie maakt volop gebruik van processtuur- en controlesystemen (SCADA) van fabrikant Siemens. Net als talloze andere fabrieken, energiecentrales, (drink)waterbeheerders en havenbedrijven. Veel, heel veel vitale infrastructuur, vooral in Europa, draait op Siemens-systemen, waaronder Simatic WinCC en Step 7 software.

Ingenieus cyberwapen

En precies op WinCC en Step 7 heeft de kwaadaardige Stuxnet-worm het gemunt. WinCC is visualisatiesoftware voor het monitoren van geautomatiseerde processen. Step7 is voor ingenieurs die software maken en configureren voor programmable controllers van Siemens die dienst doen in fabrieken en productieprocessen.

Stuxnet is een supergeavanceerde tientrapsraket die zich via maar liefst vier verschillende zeroday-gaten in Windows in WinCC en Step 7 nestelt. Vanuit daar kan het cruciale bedrijfsprocessen bespioneren en manipuleren.

Stuxnet zou het speciaal voorzien hebben op het Iraanse nucleaire programma, stellen experts na analyse van de broncode en het infectiepatroon van de worm. De malware wordt gezien als de meest ingenieuze ooit, waardoor de verdenking sterk uitgaat naar een geheim cybercommando, wellicht van Israël of de VS.

Onder de radar

Zo heeft Stuxnet de net voltooide Iraanse kernenergiecentrale bij Bushehr getroffen. Het opstarten van deze centrale is onlangs met zeker vier maanden uitgesteld, maar Iran ontkent elk verband met Stuxnet. Wel erkent het regime dat er infecties zijn geweest en heeft het enkele arrestaties verricht in verband met 'nucleaire cyberspionage'.

De oorsponkelijke Stuxnet-worm, die al ruim een jaar oud is, sprong alleen van systeem naar systeem via usb-sticks. Dat lijkt primitief, maar het is exact de bedoeling. Want praktisch alle SCADA-systemen zijn - juist uit veiligheidsoverwegingen - stand alone: niet verbonden met een netwerk en al helemaal niet met internet.

Het uitvoeren van updates en het kopiëren van logfiles gebeurt daarom meestal met een...precies, usb-stick. En omdat Stuxnet zich hierdoor nauwelijks verspreidde bleef het lange tijd onder de radar van industriële systeembeheerders en antivirusbedrijven.

Collateral damage

Toch vermoedt onder meer antivirusbedrijf Symantec, dat zojuist een uitgebreide analyse van Stuxnet heeft gepubliceerd, dat die eerste versie zijn doel niet heeft bereikt. Daarom werd een tweede, agressievere variant ontwikkeld die zich ook via netwerken vermenigvuldigt. In plaats van de lasergeleide raket lijkt het nu meer op een clusterbom.

Met als gevolg dat inmiddels honderduizenden, zo niet miljoenen pc's zijn getroffen, waaronder die van talloze Chinese fabriekssystemen. Mogelijk is zelfs een Indiase satelliet onklaar gemaakt. Het is de collateral damage van Stuxnet.

Security-experts vrezen echter dat andere hackers met Stuxnet aan de haal gaan en nieuwe varianten loslaten, die nog veel besmettelijker zijn, met als doelwit miljoenen kwetsbare Windows-systemen.

Want Microsoft heeft weliswaar al meerdere patches uitgebracht, maar die zijn niet beschikbaar voor verouderde pc's met Windows XP SP 1 of 2. Dit geldt voor circa een kwart van de particuliere pc's en bijna de helft van alle bedrijfscomputers. Bovendien zijn twee van de vier misbruikte kwetsbaarheden nog niet verholpen.

Onwetend

De dreiging Stuxnet staat echter nauwelijks op de kaart bij de industrie, blijkt uit een korte rondgang langs technische automatiseerders. Sommigen hebben er überhaupt niet van gehoord, anderen komen met de reflexmatige reactie: het speelt hier niet, onze systemen zijn veilig.

"Dergelijke SCADA en PLC-systemen (programmable logic controller) zitten geïsoleerd op locale systemen en netwerken. Die zijn strikt gescheiden van internet", aldus Wijnand van Asseldonk, operationeel manager van Task24, een grote dienstverlener in de technische automatisering. "We hebben van onze opdrachtgevers hierover nog niets gehoord. En we hebben het er zelf eigenlijk ook niet over."

Kerncentrales draaien niet op Windows

Volgens Siemens valt het ook allemaal wel mee. "We hebben hier in Nederland geen problemen, voor zover ik weet. We hebben in juli hierover met onze klanten gecommuniceerd en een update uitgebracht. Er zijn wereldwijd 15 aanvallen gemeld, allemaal zonder nadelige gevolgen voor productiesystemen", sust de woordvoerder van Siemens Nederland.

"We gaan niet mee met al die speculaties over gehackte kerncentrales. We willen het niet downplayen, maar er is geen harde informatie over. We zijn bovendien direct noch indirect betrokken bij het nucleaire programma in Iran", verzekert de zegsman. "En kerncentrales werken sowieso niet onder Windows."

Draait de enige kernenergiecentrale van Nederland, Borssele, ook niet op Windows? "Ik kan u zulke details niet geven, ik hoop dat u dat begrijpt", aldus de woordvoerster van EPZ, de eigenaar van de kerncentrale. "Ik kan u wel vertellen dat we Siemens systemen gebruiken." Het nucleaire complex werd begin jaren zeventig zelfs door Siemens gebouwd.

Borssele op defcon 1

In Borssele, een nationale infrastructuur, zijn ze een stuk alerter op Stuxnet. "We zijn al een tijd op de hoogte van dit virus. We worden in een zo vroeg mogelijk stadium op de hoogte gesteld bij dit soort problemen. We hebben diverse voorzorgsmaatregelen genomen om infectie te voorkomen", verzekert de zegsvrouw.

EPZ is dan ook een belangrijke participant in de Nationale Infrastructuur ter bestrijding van Cybercrime, kortweg NICC. "We hebben hierover regelmatig contact met Govcert en NICC, in de nucleaire werkgroep." Govcert publiceerde begin augustus een factsheet over Stuxnet.

Binnen de NICC zijn er verschillende gremia die zich momenteel met de worm bezighouden, zoals voorgenoemde nucleaire werkgroep en een groep voor de hele energiesector. Er is zelfs een overlegorgaan speciaal voor SCADA-systemen, zoals het gewraakte Siemens WinCC.

Zelf draagt de woordvoerster van EPZ haar steentje bij aan de waakzaamheid. "Ik volg met Google Alert allerlei berichten over Stuxnet. Het heeft zeker onze aandacht."

Patch genegeerd

Dat is een heel ander geluid dan uit de industrie. Want de 'communicatie' van Microsoft en Siemens over Stuxnet is door weinig automatiseerders gehoord of serieus genomen. Bedrijven blijken of helemaal niet op de hoogte, of zien geen noodzaak voor de updates. Van Asseldonk van dienstverlener Task24 weet dan ook niet één bedrijf dat de belangrijke Simatic-patch van Siemens heeft uitgerold.

Bij multinational Vanderlande Industries is het niet anders. Tot nog toe dan. ICT-manager Van der Craats: "Voor zover ik weet hebben we de update van Siemens op onze systemen nog niet geïnstalleerd. We zijn dat momenteel direct aan het onderzoeken. Ik ga dit nu allemaal wel even controleren."

Eerder in het Dossier Stuxnet:

19 juli: Malafide shortcuts kapen Windows

20 juli: Wormwerende inlogwijziging saboteert beheersysteem 22 juli: Veel aanvallen via shortcut-lek Windows verwacht 26 juli: Iran blijkt doelwit Windows shortcut-worm 28 juli: Microsoft raadt externe afweer shortcut-lek af 31 juli: Noodpatch voor Windows shortcut-lek 4 aug: Veel kritieke systemen krijgen geen XP-patch 15 sept: Microsoft laat twee gaten voor Stuxnet-worm open 23 sept: Stuxnet-worm update zichzelf via p2p 27 sept: Stuxnet besmet Iraanse kerncentrale 28 sept: Stuxnet-worm laat backdoor achter 1 okt: Stuxnet sloopte mogelijk satelliet