Over Stuxnet doen de wildste theorieën de ronde. Het zou een Indiase satelliet en duizenden Chinese fabrieken hebben gesaboteerd. De James Bond-verhalen zijn niet van de lucht. Is het echt zo spannend? Ja.

Webwereld ging op zoek en probeert het kaf van het koren te scheiden. Naast een fikse online zoektocht is hiervoor gesproken met experts van Symantec, De Nederlandse Profibus- en PLC-expert Rob Hulsebos, het internationale atoomagentschap IAEA, de TU Delft, en drie gezaghebbende denktanks: Instituut Clingendael, de Federation of American Scientists en het Center for Strategic and International Studies in Washington.

Er is geen bevestiging van de Iraanse president Ahmadinejad (die hebben we ook niet gebeld), maar al het beschikbare bewijs versterkt de reeds populaire theorie: Stuxnet is gericht tegen het nucleaire programma van Iran. Meer specifiek, de uranium verrijkingscentrale bij Natanz en mogelijk ook de kernenergiecentrale bij Bushehr.

En met succes. De genoemde complexen liggen weliswaar niet in puin, maar er zijn sterke aanwijzingen dat Stuxnet storingen heeft veroorzaakt in de cascades van ultracentrifuges (Natanz) en uitstel van operationalisatie van Bushehr. We zetten de bewijzen op een rij. Elk afzonderlijk zijn ze wellicht niet afdoende om de zaak te beklinken, maar naast elkaar is het bewijs vrijwel onomstotelijk.

Infectiepatroon: epicentrum in Iran

Het eerste belangrijkste indirecte bewijs is de geografische verspreiding van Stuxnet-infecties. Want hoewel de worm zeer specifieke industriële systemen aanvalt, heeft het tienduizenden Windows-pc’s geïnfecteerd. Dat klinkt paradoxaal, maar is logisch. Kort gezegd, wie de buit wil, zal eerst moeten inbreken bij de bank en daarna nog de kluis kraken. Windows is in dit geval de bank, en Siemens de kluis.

Maar anders dan bankrovers, gaat Stuxnet grondig te werk. Om er zeker van te zijn dat de buit wordt binnengehaald, breekt Stuxnet simpelweg in bij elke bank die het tegenkomt. Vervolgens kraakt het elke kluis en stuit zo onherroepelijk op de buit. Denk aan The Agent uit de film The Matrix: in zijn eentje al dodelijk, maar net zo goed in staat om zichzelf oneindig te klonen.

Al die Stuxnet-klonen pakken dus alle Windows-pc’s die ze tegenkomen. Maar niet geheel in het wilde weg: één variant verspreidt zich alleen via usb-sticks, de ander via LAN. En daarmee blijft de geografische verspreiding beperkt vanaf het punt waar de eerste pc is besmet. Uit onderzoek blijkt dat bijna tweederde van alle circa 100.000 gedetecteerde Windows-infecties in Iran hebben plaatsgevonden. Erik van Veen, manager en onderzoeker bij Symantec Nederland zegt dan ook: “Symantec acht het zeer waarschijnlijk dat Iran het doelwit was van Stuxnet.”

stuxnet verspreiding

Makers: cybercommando’s in overheidsdienst

De meeste malware, ook complexe, is afkomstig van criminele hackers en cyberbendes. Kan het Iraanse kernprogramma niet per ongeluk zijn getroffen, terwijl Stuxnet een commercieel doelwit had en afkomstig is van een cybercriminelen?

Die optie is uitgesloten. Stuxnet is niet zo maar complex, Stuxnet is, met een gigantische marge, de meest ingenieuze malware ooit. Tientallen trucs en functies van Stuxnet zijn nog nooit eerder in het wild waargenomen, wat de worm tot een historisch unicum maakt.

“Alleen al het feit dat de worm gebruik maakt van vier tot dan toe onbekende zeroday-gaten in Windows, is voor ons indicatie dat hier een overheid achter zit. Zoiets ligt ver buiten het bereik van cybercriminelen”, mailt James Lewis, analist van het Center for Strategic and International Studies (CSIS) in Washington.

En die Windows-infecties vormen slechts het eerste stadium. Stuxnet is een soort tientrapsraket die in elke fase dieper weet door te dringen in de hardware van industriële systemen. Systemen waarover de expertise zeer dun bezaaid is. Dat er zoiets als een rootkit of een man-in-the-middle aanval voor PLC's (aanstuurhardware voor machines) mogelijk was, had nooit iemand bedacht. Stuxnet heeft het allebei. Zo konden drie onderzoekers van Symantec alleen met hulp van verschillende specialisten de code ontrafelen. Een Nederlandse Profibus-expert speelde hierbij een sleutelrol.

Net als de onderzoekers hebben ook de makers gebruik móeten maken van de kennis en kunde van verschillende experts. Ook de uiteenlopende 'codestijlen' van de verschillende modules van Stuxnet sterkt het vermoeden dat Stuxnet is gemaakt door meerdere teams van hackers, die elk de beschikking hadden over uitgebreide testfaciliteiten. Deze operatie gaat ver boven de pet van elke cyberbende momenteel denkbaar. Hier zit zonder twijfel een staat achter. Welke staat dan? Hier zijn weinig concrete bewijzen, maar de hoofdverdachte is Israël. Die heeft het duidelijkste motief, en dreigt al tijden met een aanval op nucleaire complexen in Iran. Bovendien heeft het eerder een Syrisch complex gebombardeerd. Daarbij werd gelijktijdig een cyberaanval uitgevoerd die Syrische radarinstallaties met succes platlegde.

Primair doelwit: Uranium opwerkfabriek Natanz

Het meest overtuigend is het bewijs dat Stuxnet het voorzien heeft op een fabriek waarmee Iran zelf uranium verrijkt. Die verrijking vormt voor andere landen het grootste gevaar, omdat daarmee uiteindelijk uranium kan worden verkregen geschikt voor kernwapens (zie verder onder strategisch belang).

Stuxnet heeft drie speficieke payloads, zeg maar 'kernkoppen'. Uit onderzoek van Symantec blijkt dat twee van de drie aanvalsmodules alleen in werking treden als zij industriële frequentieregelaars tegenkomen die electromotoren aansturen die met extreme snelheden draaien. Boven de 800 Hz, dat is 48420 toeren per minuut (rpm). Niet voor niets wordt de handel in dergelijke hogefrequentieregelaars streng gereguleerd. De export naar 'schurkenstaten' is helemaal verboden. Maar Iran produceert zelf dergelijke technologie, door Fararo Paya. Wat blijkt? Stuxnet is specifiek op zoek naar twee soorten frequentieregelaars: een van het Finse Vacon en de ander van, u raadt het al: Fararo Paya.

Er zijn bovendien maar heel weinig industriële processen waarbij dergelijke omwentelingssnelheid noodzakelijk zijn. De belangrijkste is uraniumverrijking. Maar zijn er geen andere industriële toepassingen met dergelijke toerentallen? Pompen, turbines? We vroegen het aan Adrie Huesman, universitair docent TU Delft van het Delft Center for Systems and Control.

"50.000 rpm is wel extreem hoog. Compressoren komen hier nog het dichtste bij, maar die komen meestal niet uit boven de 10.000 rpm. Met dat toerental kun je een druk opbouwen van 200 bar, dat is ongeveer de maximum gangbare druk in bijvoorbeeld de chemische industrie. Hogere snelheden zijn niet nodig en dus de investering niet waard, omdat het veel duurder wordt. Vanwege de extreme centrifugale krachten zijn dan speciale materialen nodig", legt Huesman uit.

“De Chinezen werken momenteel aan geavanceerde separatoren, maar die halen ook niet meer dan 10.000 rpm. Ik ken geen industriële applicaties die hogere toeren hebben dan dat." Symantec meldt nog desgevraagd dat andere experts rapporteren dat zogenaamde high speed cutters wel zeer hoge toerentallen halen. En ook de ultrasone boor van de tandarts haalt het vereiste toerental, maar daarvoor zijn weinig industriële toepassingen.

Er zijn dus sterke aanwijzingen dat het gaat om ultracentrifuges, aangestuurd door Finse of Iraanse frequentieregelaars. Waarom dan alleen Natanz? Dat is de enige verrijkingsfabriek die momenteel operationeel is in Iran, bevestigt het internationale atoomwaakhond IAEA desgevraagd. Iran is druk bezig de capaciteit uit te breiden, onder meer in een complex bij Qom, maar dat is nog in aanbouw.

Zijn er concrete aanwijzingen dat de uraniumverrijking in Natanz is gefrustreerd? Ja zeker, de Duitse security-onderzoeker Frank Rieger zette ze op een rij. Uit metingen van IAEA blijkt dat het aantal operationele centrifuges vorig jaar zomer plotseling is gedaald.

terugval centrifuges Natanz

Op 31 mei 2009 waren er 4920 ultracentrifuges operationeel in het complex, op 12 augustus was dan teruggelopen tot 4592 en op 2 november tot 3936. Sindsdien schommelt het rond dat aantal, terwijl er tegelijk steeds meer (nog) niet-werkende centrifuges worden bijgeplaatst. In augustus van dit jaar waren er in totaal 8856 centrifuges, waarvan slechts 3772 operationeel. (Deze cijfers komen direct uit IAEA-rapporten, de cijfers in het grafiekje zijn ietwat verwarrend, maar hier wel op gebaseerd. De grafiek zelf is van nucleair analist Ivanka Barzashka, die ook geconsulteerd is voor dit verhaal.)

Een woordvoerder van het IAEA bevestigt al deze cijfers en de substantiële dip in operationele centrifuges bij Natanz, maar wil er geen verklaring voor geven.

Bovendien verscheen op 17 juli 2009 een mysterieus bericht op Wikileaks over een serieus nucleair incident bij Natanz. Naar aanleiding hiervan zou de baas van Iran’s Atoom Energie Organisatie, Gholam Reza Aghazadeh, ontslagen zijn. De eerste Stuxnet-variant dateert van rond die tijd, blijkt uit een reconstructie van Symantec. De tweede variant, die zich via LAN verspreidt, dook pas op in 2010.

Secundair doelwit: Kernenergiecentrale Bushehr

Dat roept de vraag op: waarom nog een tweede variant als de sabotage al gelukt was? Ten eerste, het succes was beperkt, want de verrijking ging op een lager pitje gewoon door. Maar er was mogelijk nog een ander doel. Zoals eerder gezegd, heeft Stuxnet drie 'kernkoppen'. Sequentie A en B richten zich, via PLC 315 serie op frequentieregelaars van Vacom of Fararo Paya.

Sequentie C is nog ingewikkelder, maar lijkt volgens de Symantec-onderzoekers niet functioneel. Ze hebben echter geen verklaring waarom de code er dan nog in zit. De Duitse PLC-expert Ralph Langner heeft die verklaring wel. Sequentie C infecteert een andere variant PLC, de serie 417, en voert daar een zogenaamde man-in-the-middle aanval uit: het aftappen van commando's.

Het is onduidelijk of deze module ook een saboterende werking had, of alleen een spionerende. Bushehr wordt alleen gebruikt voor energieopwekking en is als zodanig een minder strategisch doelwit van sabotage. Feit is wel dat de inwerkingstelling van de Bushehr-centrale enige malen is uitgesteld. Momenteel wordt daar nu splijtstof in de reactor geladen.

Strategisch belang: dreiging van Iraanse kernwapens

Gezien de extreme complexeit en de staatsteun moet het doelwit van Stuxnet een strategisch belang dienen. Er is al jaren gestaag aanzwellende internationaal-politiek-militaire ophef over de nucleaire ambities van Iran. Vooral de verrijkingsfabriek van Natanz vormt een strategisch logisch doelwit. Vindt ook Alfred Pijpers, onderzoeker bij Clingendael, gespecialiseerd in internationale betrekkingen met het Midden-Oosten en auteur van "Een Israëlische aanval op de Iraanse atoominstallaties; fictie of werkelijkheid?" (pdf).

Natanz is strategisch veruit het belangrijkst, vertelt Pijpers, omdat dit tot nog toe de enige fabriek is waar het Iraanse regime eigenhandig uranium kan verrijken, potentieel tot weapons grade. Bushehr is van minder belang. "Bushehr staat eigenlijk helemaal buiten het eigen Iraanse kernprogramma. De brandstof voor deze centrale komt uit Rusland en de afgewerkte splijtstof gaat ook weer het land uit," legt Pijpers uit.

Concluderend, hoeveel indirect bewijs is er nodig om iets hard te maken? Natuurlijk, er zijn alternatieve hypothesen mogelijk, maar daarvoor ontbreekt tot nog toe elk concreet bewijs. Dus zeker als Ockham's scheermes wordt gehanteerd, is er maar één conclusie mogelijk.

Eerder in het Dossier Stuxnet:

19 juli: Malafide shortcuts kapen Windows

20 juli: Wormwerende inlogwijziging saboteert beheersysteem 22 juli: Veel aanvallen via shortcut-lek Windows verwacht 26 juli: Iran blijkt doelwit Windows shortcut-worm 28 juli: Microsoft raadt externe afweer shortcut-lek af 31 juli: Noodpatch voor Windows shortcut-lek 4 aug: Veel kritieke systemen krijgen geen XP-patch 15 sept: Microsoft laat twee gaten voor Stuxnet-worm open 23 sept: Stuxnet-worm update zichzelf via p2p 27 sept: Stuxnet besmet Iraanse kerncentrale 28 sept: Stuxnet-worm laat backdoor achter 1 okt: Stuxnet sloopte mogelijk satelliet 4 okt: Stuxnetworm valt Nederlandse multinational aan 4 okt: 'VS faalt bij waarschuwing voor stuxnetworm' 12 okt: EU: Stuxnet-gevaar overschrijdt landsgrenzen 13 okt: Microsoft laat Stuxnet-gat openstaan 26 okt: Stuxnet-patch Siemens laat gat open 3 nov: 'Stuxnet-scanner' zoekt aanvalsdoelen 15 nov: Nederlander ontleedt Stuxnet-worm 19 nov: Hoe een Nederlander de Stuxnet-puzzle oploste