Stuxnet blijkt al veel langer in het wild dan gedacht. Een vroege versie, Stuxnet 0.5 gedoopt, was al sinds 2005 in ontwikkeling en werd in 2007 losgelaten op de Iraanse uraniumfabriek in Natanz.

Zelfde broncode als Flame

Dat concludeert Symantec in een nieuw onderzoek (pdf), dat tevens de eerdere conclusie van Kaspersky bevestigt: supermalware Stuxnet is verwant met supermalware Flame. Streker nog, Stuxnet 0.5 is gebaseerd op exact dezelfde broncode als het beruchte Flame, de latere Stuxnet 1.0 is een afsplitsing.

Stuxnet 0.5 had minder verspreidingsmethoden, alleen via USB en een kwetsbaarheid in Siemens SCADA-beheersoftware Step 7. De latere Stuxnetvarianten maakten gebruik van meerdere zerodays en verspreidde zich zodoende abusievelijk over honderdduizenden pc's.

Kernambities Iran saboteren

Het doel van beide Stuxnet-varianten is volgens Symantec dezelfde: het bespioneren en saboteren van de uraniumverrijkingscentrale in Natanz, Iran. Maar in plaats van de centrifuges op hol te laten slaan, manipuleerde Stuxnet 0.5 de kleppen en ventielen waardoor de toe- en afvoer van uranium in de serie (cascade) centrifuges werd geregeld. Ook dit zou schade aan de centrifuges veroorzaken. Of de vroege versie van Stuxnet zijn doel bereikte is niet bekend, waarschijnlijk niet of in elk geval niet voldoende volgens de makers.

Die makers zijn hoogstwaarschijnlijk de geheime (militaire) diensten van Israël en de Verenigde Staten. Hoge ambtenaren van onder meer de CIA hebben details over Stuxnet, een van 's werelds meest geavanceerde cyberwapens, naar de media gelekt. Dat lek wordt nu door de FBI onderzocht.