Van Stuxnet naar Cyberoorlog: hoe een virus een bom vervangt

Stuxnet is een virus dat naar alle waarschijnlijkheid is ontwikkeld door de VS in samenwerking met Israël om het nucleaire programma van Iran te saboteren. Ten tijde van de ontdekking in 2010 was het veruit het meest geavanceerde virus dat ooit onder ogen van virusbestrijders was gekomen. Na een heroïsche poging om te ontdekken hoe het virus werkte en wat het deed, groeide niet alleen het ontzag voor deze technische prestatie, maar ook de onrust over het mogelijk misbruik ervan. Met de ontdekking van het virus hebben hackers inmiddels een zeer krachtig wapen in handen om computers van anderen naar hun hand te zetten. Niet alleen dat. Het dwingt nationale overheden tot krachtige maatregelen om ook zich te verdedigen tegen de wapens die ze zelf ontwikkeld hebben.

De ontdekking van Stuxnet

In de maand juni van 2010 ontdekten twee medewerkers van het Wit-Russische bedrijf Virus-BlokAda, Sergey Ulasen en Oleg Kupreev, het Stuxnet virus (en/of worm). Zonder dat ze het toen al wisten, stonden ze oog in oog met iets wat de wereld nog niet eerder had gezien: een onwaarschijnlijk ver doorontwikkeld cyberwapen. Naar alle waarschijnlijkheid is Stuxnet door de VS in samenwerking met Israël ontwikkeld en door hen ook daadwerkelijk gebruikt om het nucleaire programma van Iran te saboteren. Dit is weliswaar nooit officieel bevestigd, maar er is voldoende informatie gelekt - alleen al dankzij Wikileaks - om dit met redelijke zekerheid te kunnen stellen. Iran kreeg de twijfelachtige eer het eerste slachtoffer te zijn. Er was het sterke vermoeden dat dit land, buiten alle afspraken om, bezig was om uranium zover te verrijken dat het in kernwapens gebruikt kon worden. Zou het zover komen dan zou het Midden-Oosten in de ban komen van weer een nieuwe oorlogsdreiging. Dat moest voorkomen worden. Voorheen werden daarbij nogal eens teruggegrepen op bommen om locaties waar (delen van) kernwapens ontwikkeld werden te bestoken. Israël met name, zelf nota bene een kernmacht, bombardeerde al eerder zulke locaties in Irak in 1981 en in Syrië in 2007 en wilde dat volgens de New York Times journalist David Sanger eigenlijk ook doen in Iran. Hoe het besluitvormingsproces precies verliep is niet bekend, maar uiteindelijk werd niet voor bommen gekozen. Stuxnet was het gekozen wapen. Daarmee het proces van uraniumverrijking flink verstoord worden. Dat zou niet alleen Iran's plannen vertragen maar ook tijd scheppen voor diplomatieke onderhandelingen.

Een geavanceerd virus

Toen Ulasen en Kupreev het virus ontdekten, was het nog volstrekt onduidelijk wat Stuxnet precies deed. Wel duidelijk was dat het niet om een gewone “hack” ging. Het virus maakte gebruik van een zeer geavanceerde rootkit - software die zich vrijwel onzichtbaar voor reguliere virusscanners nestelt in het besturingssysteem zelf - en van de zelden voorkomende en vaak lastig te exploiteren zero-days. Dat zijn softwarelekken die bij de producent van de software zelf nog onbekend zijn. Bovendien bevatte Stuxnet gestolen softwarecertificaten van gerenommeerde bedrijven waardoor de systeemcontrole op kwaadwillende software omzeild werd. De complexiteit en de ongewone grootte van het virus maakte de taak van reverse engineering - het reconstrueren van de code van de software zelf - bijna bovenmenselijk. In een prijzenswaardige actie zochten de twee Russen hulp bij het antivirus bedrijf Symantec, met name de superspecialisten Liam O’Murchi en Nicolas Falliere. In wat zonder overdrijving een heroïsche onderneming genoemd mag worden werd hen gaandeweg duidelijk wat Stuxnet precies deed. De bewondering voor het vakmanschap van de Stuxnet ontwikkelaars groeide daarbij met de dag, evenals overigens de verontrusting over wat het deed en zou kunnen doen. De speurtocht zelf is uitstekend beschreven in het boek “Countdown to Zero day" van Kim Zetter en zal hier niet herhaald worden.

De werking van Stuxnet

Verspreiding

Stuxnet bleek zich op een aantal verrassende manieren te kunnen verspreiden. Hoewel er in de loop der tijd verschillende versies van Stuxnet zijn ontdekt, ieder met zo zijn eigen manieren van voortplanting, kon de versie die Ulasen en Kupreev onder ogen kregen zich verplaatsten via een USB stick, onder andere door gebruik te maken van een bug in de LNK files van Windows, files dus die gebruik maakten van virtuele links naar software. Stond Stuxnet eenmaal op een PC, dan veroverde het de bevoegdheden die die alleen systeembeheerders normaal krijgen (root niveau). Andere versies van Stuxnet konden zich verspreiden via zero days in het print-spool programma en zelfs, en dit verbaasde alle deskundigen, via het extreem veilig geachte Windowsupdate systeem. Dat laatste is een gigantische prestatie omdat voor het hacken daarvan niet alleen complexe wiskunde nodig is, maar ook de rekenkracht van enorme supercomputers. Dat alleen al was een teken dat het door kapitaalkrachtige grootmachten ontwikkeld was. Het kan niet anders of de producent van Windows, de firma Microsoft, moet hierover zeer verontwaardigd zijn geweest. Maar informatie over een eventueel contact tussen Microsoft en de regering van de VS ontbreekt.

Werking: Iran is het doelwit
De verspreiding is één ding, wat het virus doet is een andere. Na lang speuren vond men het. Het virus bleek zich te richten op het verstoren van de werking van slechts twee programma’s. Kwam deze voor op de computer, dan trad Stuxnet in werking. In alle andere gevallen deed het niets. De programma’s die aangevallen werden waren Simatic step 7 en Simatic WinCC, beide ontwikkelt door het Duitse bedrijf Siemens. Beide programma's zijn een deel van wat heet een Industrial Control System (ICS) die staan op kleine computers die op hun beurt machines kunnen aansturen. Zulke kleine computers worden vaak PLC’s genoemd wat staat voor Programmable Logic Controllers. Met andere woorden: het virus viel programma’s aan die andere apparaten controleren en die dus de werking van die aangestuurde apparaten kon aanpassen en, uiteraard, verstoren. Na weer een hectische fase in de speurtocht van de mensen van Symantec, nu overigens met veel hulp van andere deskundigen uit de wereld van virusbestrijders, bleek dat het virus niet eens alle Siemens controllers aanviel, maar alleen een wel heel specifieke set. Laat nu die set precies de controllers zijn die gebruikt werden in de centrifuges die de Iraanse regering gebruikte om uranium te verrijken, met name op de locatie in Natanz.

Sabotage van uranium verrijkende centrifuges in Iran

Het virus veranderde de software van Siemens zodanig dat de centrifuges niet optimaal functioneerden. Het verhoogde ook aanzienlijk de kans dat de ze stuk gingen. Om uranium op te werken zijn duizenden van dergelijke centrifuges nodig en uit verschillende bronnen is het volstrekt duidelijk geworden dat er ongewoon veel centrifuges zijn stuk gegaan in Natanz. Door de subtiele manier waarop het virus werkte, heeft het lang geduurd voor de Iraanse ingenieurs de oorzaak konden aanwijzen. Het heeft er zelfs alle schijn van dat ze de ware oorzaak pas ontdekten nadat de mensen van Virus-BlokAda en Symantec publiekelijk hadden gemeld dat ze bezig waren met hun onderzoek naar Stuxnet.

Stuxnet als cyberwapen

Er zijn, als gezegd, inmiddels meerdere varianten van Stuxnet gevonden. Virussen met namen als Duqu, Flame en mini-Flame lijken allemaal afkomstig van een en dezelfde bron. Deze conclusie werd getrokken op basis van de architectuur van deze virussen en op basis van aanwijzingen in de software zelf over het platform waarop het ontwikkeld zou zijn (in hackers kringen wordt dit platform steevast als Tilded aangeduid). Al deze virus-varianten kenmerken zich door zich door zeer geavanceerde en zeer specifieke verspreidingsmechanismen. De selectiviteit van de aanvallen is beslist opvallend. Niet alle computers worden door erdoor aangevallen. Alleen computers met specifieke software zijn het doelwit. Al deze virussen laten ook nog eens weten waar ze zijn. Ze sturen cryptische boodschappen naar speciale gehackt domeinen. De makers kunnen zo niet alleen zien welke computers besmet zijn, maar kunnen ook nieuwe opdrachten aan het virus kunnen doorgegeven. Zo kan de verspreiding als het ware handmatig gecontroleerd worden en kan het virus zelfs van nieuwe functionaliteit worden voorzien.

De droom van elke goede hacker

Dat laatste is een droom voor de kwaadwillende hacker. Niet alleen het saboteren van apparaten is als het ware op afstand mogelijk (inclusief de camera’s en microfoons), maar ook het downloaden van documenten en wachtwoorden om over mogelijke toegang tot bankrekeningen nog maar niet te spreken. Hier toont zich overigens ook direct het grote gevaar van cyberwapens in het algemeen. Een bom die ergens op gegooid wordt, is na gebruik stuk en kan niet hergebruikt worden, maar een cyberwapen blijft bestaan ook nadat het zijn werk gedaan heeft. Iemand met met voldoende vaardigheden kan een cyberwapen hergebruiken en zelfs aanpassen.

Verdediging en aanval

Stuxnet was, of is, een aanvalswapen. Het kan daardoor ook gebruikt worden tegen de degenen die het als eerste gebruikt hebben. Omdat Stuxnet het mogelijk maakt om apparaten te ontregelen kan het ook belangrijke delen van een nationale infrastructuur plat leggen. Denk daarbij niet alleen aan defensiesystemen maar ook aan zoiets cruciaals als het elektriciteitsnetwerk. Virussen als Stuxnet zijn in potentie een krachtig wapen voor terroristen. De Iraanse regering besefte terdege toen ze na de aanvallen op hun nucleaire programma hackers in alle landen opriepen om mee te werken aan een cyberoorlog tegen imperialistische grootmachten, een term waarmee ze uiteraard vooral de VS en Israël bedoeld zullen hebben.

Beginnen met een cyberoorlog impliceert dat veel aandacht gegeven moet worden aan de verdediging van de eigen (nationale) infrastructuur. Zoals een van de ontwerpers van de fire-walls, Marcus Ranum, ooit (ongeveer) zei: je moet niet met stenen gooien als je in een glazen huis woont.