De toekomst van oorlogvoering is misschien nog maar net begonnen, maar in plaats van te worden aangekondigd door een explosie, begon deze zonder enig geluid of één enkel slachtoffer.
Het is de eerste in zijn soort en zou een signaal kunnen zijn van de manieren waarop alle oorlogen voortaan worden uitgevochten. Het is een cyberwapen dat zo nauwkeurig is dat het een doelwit effectiever kan vernietigen dan een conventioneel explosief, en zichzelf vervolgens eenvoudigweg kan vernietigen, waardoor de slachtoffers zichzelf de schuld kunnen geven. Het is een wapen dat zo verschrikkelijk is dat het denkbaar meer zou kunnen doen dan alleen fysieke objecten beschadigen; het zou ideeën kunnen vernietigen. Het is de Stuxnet-worm, door velen omschreven als het eerste echte wapen ter wereld voor cyberoorlogvoering, en het eerste doelwit was Iran.
Aanbevolen video's
Het begin van cyberoorlogvoering
Stuxnet lijkt bijna uit een roman van Tom Clancy. In plaats van raketten te sturen om een kerncentrale te vernietigen die de hele regio en de wereld bedreigt en onder toezicht staat van een president die beweert dat hij graag zou zien dat een heel mensenras ‘van de kaart wordt geveegd’, kan er een eenvoudig computervirus worden geïntroduceerd dat het werk veel beter zal doen effectief. Het aanvallen van een structuur met raketten kan tot oorlog leiden, en bovendien kunnen gebouwen worden herbouwd. Maar een systeem zo volledig infecteren dat de mensen die het gebruiken beginnen te twijfelen aan hun geloof in hun eigen kunnen, zal op de lange termijn veel verwoestendere gevolgen hebben.
In een zeldzaam moment van openheid vanuit Iran heeft de natie dat wel gedaan bevestigd dat de Stuxnet-malware (de naam komt van trefwoorden die in de code zijn verborgen) die oorspronkelijk in juli werd ontdekt, de nucleaire ambities van het land heeft geschaad. Hoewel Iran het incident bagatelliseert, zijn er sommigen rapporten suggereren dat de worm zo effectief was dat hij het Iraanse nucleaire programma mogelijk met meerdere jaren heeft vertraagd.
In plaats van eenvoudigweg een systeem te infecteren en alles waarmee het in aanraking komt te vernietigen, is Stuxnet veel geavanceerder dan dat, en ook veel effectiever.
De worm is slim en aanpasbaar. Wanneer het een nieuw systeem binnengaat, blijft het inactief en leert het het beveiligingssysteem van de computer kennen. Zodra het kan opereren zonder alarm te slaan, gaat het op zoek naar zeer specifieke doelen en begint het bepaalde systemen aan te vallen. In plaats van eenvoudigweg zijn doelwitten te vernietigen, doet het iets veel effectiever: het misleidt hen.
In een nucleair verrijkingsprogramma is een centrifuge een fundamenteel instrument dat nodig is om het uranium te verfijnen. Elke gebouwde centrifuge volgt dezelfde basismechanica, maar de Duitse fabrikant Siemens biedt wat velen beschouwen als de beste in de branche. Stuxnet zocht de Siemens-controllers op en nam de leiding over de manier waarop de centrifuge draait. Maar in plaats van de machines eenvoudigweg te dwingen te draaien totdat ze zichzelf vernietigden – waartoe de worm meer dan in staat was – bracht Stuxnet subtiele en veel sluwere veranderingen aan de machines aan.
Wanneer een uraniummonster voor verfijning in een met Stuxnet geïnfecteerde centrifuge werd geplaatst, gaf het virus de machine de opdracht sneller te draaien dan waarvoor het was ontworpen, om vervolgens plotseling te stoppen. Het resultaat was dat duizenden machines jaren eerder dan gepland versleten waren, en, nog belangrijker, dat de monsters kapot gingen. Maar de echte truc van het virus was dat het, terwijl het de machines saboteerde, de metingen vervalste en het leek alsof alles binnen de verwachte parameters functioneerde.
Na maanden hiervan begonnen de centrifuges te verslijten en kapot te gaan, maar de metingen bleven nog steeds hetzelfde binnen de normen leek te vallen, begonnen de wetenschappers die bij het project betrokken waren, te twijfelen zich. Iraanse veiligheidsagenten begonnen de mislukkingen te onderzoeken, en het personeel van de nucleaire faciliteiten leefde onder een wolk van angst en achterdocht. Dit duurde ruim een jaar. Als het virus detectie volledig had kunnen vermijden, zou het zichzelf uiteindelijk volledig hebben verwijderd en de Iraniërs zich afvragen wat ze verkeerd deden.
Zeventien maanden lang slaagde het virus erin om stilletjes de Iraanse systemen binnen te dringen, waarbij langzaam vitale monsters werden vernietigd en noodzakelijke apparatuur werd beschadigd. Misschien nog wel meer dan de schade aan de machines en de monsters was de chaos waarin het programma terechtkwam.
De Iraniërs geven met tegenzin een deel van de schade toe
De Iraanse president Mahmoud Ahmadinejad heeft dat wel gedaan beweerde dat Stuxnet “erin slaagde problemen te creëren voor een beperkt aantal van onze centrifuges”, wat een verandering is De eerdere bewering van Iran dat de worm 30.000 computers had geïnfecteerd, maar de kernenergie niet had aangetast faciliteiten. Enkele rapporten voorstellen in de fabriek in Natanz, waar de Iraanse verrijkingsprogramma's zijn ondergebracht, zijn 5.084 van de 8.856 centrifuges in gebruik bij de Iraanse kerncentrale faciliteiten zijn offline gehaald, mogelijk als gevolg van schade, en de fabriek is minstens twee keer gedwongen gesloten vanwege de gevolgen van de ramp. virus.
Stuxnet richtte zich ook op de stoomturbine van Russische makelij die de Bushehr-faciliteit aandrijft, maar het lijkt erop dat het virus werd ontdekt voordat er echte schade kon worden aangericht. Als het virus niet was ontdekt, zou het uiteindelijk de toerentallen van de turbines te hoog hebben gemaakt en onherstelbare schade aan de hele energiecentrale hebben veroorzaakt. Temperatuur- en koelsystemen zijn ook geïdentificeerd als doelwitten, maar de resultaten van de worm op deze systemen zijn niet duidelijk.
De ontdekking van de worm
In juni van dit jaar vond de Wit-Russische antivirusspecialist VirusBlokAda een voorheen onbekend malwareprogramma op de computer van een Iraanse klant. Na onderzoek ontdekte het antivirusbedrijf dat het specifiek was ontworpen om Siemens SCADA aan te vallen (toezichtcontrole en data-acquisitie) managementsystemen, dit zijn apparaten die op grote schaal worden gebruikt productie. De eerste aanwijzing dat er iets anders was aan deze worm was dat zodra de waarschuwing was gegeven, iedereen Het bedrijf dat het alarm probeerde door te geven, werd vervolgens aangevallen en moest het voor minstens 24 uur sluiten uur. De methoden en redenen voor de aanvallen zijn nog steeds een mysterie.
Toen het virus eenmaal ontdekt was, hebben bedrijven als Symantec en Kaspersky, twee van de grootste antivirusbedrijven ter wereld, evenals verschillende inlichtingendiensten begonnen Stuxnet te onderzoeken en vonden resultaten die al snel duidelijk maakten dat dit geen gewone malware was.
Eind september had Symantec ontdekt dat bijna 60 procent van alle geïnfecteerde machines ter wereld zich in Iran bevonden. Toen dat eenmaal ontdekt was, werd het steeds duidelijker dat het virus niet ontworpen was gewoon om problemen te veroorzaken, zoals bij veel soorten malware het geval is, maar het had een heel specifiek doel en een doel. Het niveau van verfijning was ook ruimschoots hoger dan ooit tevoren, wat Ralph Langner, de computerbeveiligingsexpert die het virus als eerste ontdekte, ertoe aanzette om verklaren dat het was “als de aankomst van een F-35 op een slagveld uit de Eerste Wereldoorlog”.
Hoe het werkte
Stuxnet richt zich specifiek op Windows 7-besturingssystemen, wat niet toevallig hetzelfde besturingssysteem is dat wordt gebruikt in de Iraanse kerncentrale. De worm maakt gebruik van vier zero-day-aanvallen en richt zich specifiek op de WinCC/PCS 7 SCADA-software van Siemens. Een zero-day-dreiging is een kwetsbaarheid die onbekend of onaangekondigd is door de fabrikant. Dit zijn over het algemeen systeemkritische kwetsbaarheden, en zodra ze worden ontdekt, worden ze onmiddellijk gepatcht. In dit geval waren de twee zero-day-elementen ontdekt en stonden ze op het punt een oplossing uit te brengen, maar twee andere waren door niemand ontdekt. Zodra de worm zich in het systeem bevond, begon hij andere systemen te exploiteren in het lokale netwerk waarop hij zich richtte.
Terwijl Stuxnet zich een weg baande door de Iraanse systemen, werd het door de beveiliging van het systeem uitgedaagd om een legitiem certificaat te overleggen. De malware presenteerde vervolgens twee authentieke certificaten, één van de circuitfabrikant JMicron en de andere van computerhardwarefabrikant Realtek. Beide bedrijven zijn gevestigd in Taiwan, slechts een steenworp afstand van elkaar, en er werd bevestigd dat beide certificaten zijn gestolen. Deze authentieke certificaten zijn een van de redenen dat de worm zo lang onopgemerkt kon blijven.
De malware kon ook via peer-to-peer delen communiceren als er een internetverbinding aanwezig was, waardoor hij indien nodig kon upgraden en de voortgang kon rapporteren. De servers waarmee Stuxnet communiceerde, bevonden zich in Denemarken en Maleisië, en beide werden uitgeschakeld nadat werd bevestigd dat de worm de Natanz-faciliteit was binnengedrongen.
Toen Stuxnet zich door de Iraanse systemen begon te verspreiden, begon het zich alleen te richten op de “frequentieomvormers” die verantwoordelijk waren voor centrifuges. Met behulp van schijven met variabele frequentie als markers zocht de worm specifiek naar schijven van twee leveranciers: Vacon, gevestigd in Finland, en Fararo Paya, gevestigd in Iran. Vervolgens bewaakt het de gespecificeerde frequenties en valt het alleen aan als een systeem tussen 807 Hz en 1210 Hz draait, een vrij zeldzame frequentie. frequentie die verklaart hoe de worm zich zo specifiek op Iraanse kerncentrales kon richten, ondanks dat hij zich over de hele wereld verspreidde. Stuxnet gaat vervolgens over tot het wijzigen van de uitgangsfrequentie, wat invloed heeft op de aangesloten motoren. Hoewel minstens vijftien andere systemen van Siemens een infectie hebben gemeld, heeft geen enkele enige schade door de worm opgelopen.
Om eerst de nucleaire faciliteit te bereiken, moest de worm in het systeem worden gebracht, mogelijk op een USB-stick. Iran maakt gebruik van een ‘air gap’-beveiligingssysteem, wat betekent dat de faciliteit geen verbinding met internet heeft. Dit zou kunnen verklaren waarom de worm zich zo ver verspreidde, aangezien de enige manier om het systeem te infecteren was door zich op een groot gebied te richten en als een soort virus te fungeren. Trojan terwijl hij wachtte tot een Iraanse nucleaire medewerker een geïnfecteerd bestand buiten de faciliteit zou ontvangen en dit fysiek naar de faciliteit zou brengen plant. Hierdoor zal het vrijwel onmogelijk zijn om precies te weten waar en wanneer de infectie is begonnen, omdat deze mogelijk door meerdere nietsvermoedende medewerkers is binnengebracht.
Maar waar komt het vandaan en wie heeft het ontwikkeld?
Er zijn alom verdenkingen over de herkomst van de worm, en de meest waarschijnlijke verdachte is Israël. Na grondig onderzoek naar het virus heeft Kaspersky Labs aangekondigd dat het niveau van de aanval en de verfijning waarmee deze werd uitgevoerd alleen ‘met steun van de natiestaat’ hadden kunnen worden uitgevoerd, wat particuliere hackers uitsluit groepen, of zelfs grotere groepen die hacking gebruiken als middel om hun doel te bereiken, zoals de Russische maffia, die ervan verdacht wordt een Trojaanse worm te creëren die verantwoordelijk is voor voorbij stelen $ 1 miljoen van een Britse bank.
Israël geeft volledig toe dat het cyberoorlogvoering als een pijler van zijn defensiedoctrine beschouwt, en dat de groep die bekend staat als Unit 8200, een De Israëlische strijdmacht, die beschouwd wordt als het ruwe equivalent van de NSA van de Verenigde Staten, zou de meest waarschijnlijke groep zijn verantwoordelijk.
Eenheid 8200 is de grootste divisie binnen het Israëlische leger, en toch is het merendeel van de operaties onbekend; zelfs de identiteit van de brigadegeneraal die de leiding heeft over de eenheid is geheim. Onder de vele exploits is er één rapport beweert dat eenheid 8200 tijdens een Israëlische luchtaanval op een vermoedelijke Syrische nucleaire faciliteit in 2007 een geheime cyber-kill-schakelaar activeerde die grote delen van de Syrische radar deactiveerde.
Om deze theorie nog meer geloofwaardigheid te geven, heeft Israël in 2009 de datum waarop het verwacht dat Iran rudimentaire kernwapens zal hebben, uitgesteld tot 2014. Dit kan het resultaat zijn van het horen van problemen, of het zou erop kunnen wijzen dat Israël iets wist wat niemand anders wist.
De VS zijn ook een hoofdverdachte, en in mei van dit jaar beweerde Iran dat ook te zijn gearresteerd Er wordt beweerd dat 30 mensen betrokken waren bij het helpen van de VS bij het voeren van een ‘cyberoorlog’ tegen Iran. Iran heeft ook beweerd dat de regering-Bush een plan van 400 miljoen dollar heeft gefinancierd om Iran te destabiliseren door middel van cyberaanvallen. Iran heeft beweerd dat de regering-Obama hetzelfde plan heeft voortgezet en zelfs enkele projecten heeft versneld. Critici hebben verklaard dat de beweringen van Iran eenvoudigweg een excuus zijn om ‘ongewenste zaken’ uit te roeien, en dat de arrestaties een van de vele twistpunten zijn tussen Iran en de VS.
Maar naarmate het virus verder wordt bestudeerd en er meer antwoorden naar voren komen over de functie ervan, worden er steeds meer mysteries over de oorsprong ervan opgeworpen.
Volgens Microsoft zou het virus minstens 10.000 uur aan coderen hebben gekost, en een team van vijf of meer mensen minstens zes maanden toegewijd werk. Velen speculeren nu dat hiervoor de gezamenlijke inspanningen nodig zijn van de inlichtingengemeenschappen van verschillende landen die allemaal samenwerken om de worm te creëren. Hoewel de Israëliërs misschien wel de vastberadenheid en de technici hebben, beweren sommigen dat het technologieniveau van de Verenigde Staten nodig is om de malware te coderen. Als je de exacte aard van de Siemens-machines zou kennen, in de mate waarin Stuxnet dat deed, zou dit Duits kunnen suggereren betrokkenheid, en de Russen zijn mogelijk betrokken geweest bij het gedetailleerd beschrijven van de specificaties van de Russische machinerie gebruikt. De worm was op maat gemaakt om te werken op frequenties waarbij Finse componenten betrokken waren, wat suggereert dat Finland, en misschien ook de NAVO, erbij betrokken zijn. Maar er zijn nog meer mysteries.
De worm werd niet ontdekt vanwege zijn acties in de Iraanse nucleaire installaties, maar eerder als gevolg van de wijdverbreide infectie van Stuxnet. De centrale verwerkingskern van de Iraanse kerncentrale bevindt zich diep onder de grond en is volledig afgesloten van internet. Om ervoor te zorgen dat de worm het systeem infecteert, moet deze op de computer of op een flashdrive van een personeelslid zijn binnengebracht. Het enige dat nodig is, is dat één medewerker zijn werk mee naar huis neemt, dan terugkomt en er iets insteekt onschadelijk als een flashdrive in de computer, en Stuxnet zou zijn stille mars naar de specifieke machine beginnen het wilde.
Maar de vraag wordt dan: waarom hebben de mensen die verantwoordelijk zijn voor het virus zo’n ongelooflijk geavanceerd cyberwapen ontwikkeld en dit vervolgens op een misschien wel slordige manier vrijgegeven? Als het doel was om onopgemerkt te blijven, zou het vrijkomen van een virus dat zich kan vermenigvuldigen met de snelheid die het heeft laten zien, slordig zijn. Het was een kwestie van wanneer, niet of, het virus ontdekt zou worden.
De meest waarschijnlijke reden is dat het de ontwikkelaars gewoon niets kon schelen. Het zorgvuldiger planten van de malware zou veel meer tijd hebben gekost, en de overdracht van de worm naar de specifieke systemen zou veel langer kunnen duren. Als een land op zoek is naar onmiddellijke resultaten om wat het als een op handen zijnde aanval zou kunnen zien, een halt toe te roepen, dan zou snelheid de voorzichtigheid kunnen overtroeven. De Iraanse kerncentrale is het enige geïnfecteerde systeem dat echte schade door Stuxnet meldt, dus het risico voor andere systemen lijkt minimaal.
Dus wat is het volgende?
Siemens heeft een detectie- en verwijderingstool voor Stuxnet uitgebracht, maar Iran is dat nog steeds niet worstelen om de malware volledig te verwijderen. Nog op 23 november was de Iraanse vestiging van Natanz dat wel gedwongen gesloten en verdere vertragingen worden verwacht. Uiteindelijk zou het nucleaire programma weer operationeel moeten zijn.
In een apart, maar mogelijk gerelateerd verhaal werden eerder deze week twee Iraanse wetenschappers gedood door afzonderlijke maar identieke bomaanslagen in Teheran, Iran. Op een persconferentie de volgende dag zei president Ahmadinejad verteld verslaggevers dat “ongetwijfeld de hand van het zionistische regime en de westerse regeringen betrokken is bij de moord.”
Eerder vandaag zeiden Iraanse functionarissen beweerde verschillende arrestaties te hebben verricht bij de bomaanslagen, en hoewel de identiteit van de verdachten niet is vrijgegeven, heeft de Iraanse minister van Inlichtingen gezegd: “De drie spionagediensten van Mossad, CIA en MI6 speelden een rol bij de aanslagen en met de arrestatie van deze mensen zullen we nieuwe aanwijzingen vinden om andere te arresteren elementen,”
De combinatie van de bombardementen en de schade veroorzaakt door het Stuxnet-virus zou zwaar moeten wegen op de komende gesprekken tussen Iran en een uit zes landen bestaande confederatie van China, Rusland, Frankrijk, Groot-Brittannië, Duitsland en de VS op 6 december en 7. De gesprekken zijn bedoeld om de dialoog over de mogelijke nucleaire ambities van Iran voort te zetten.
