James Bond had het niet beter kunnen bedenken: een virus dat het bedrijfsnetwerk van een elektriciteitscentrale binnendringt en op zoek gaat naar de computers die het productieproces regelen. Met usb-sticks wordt in het geheim de code veranderd, om de energiecentrale te saboteren.
Maar dit is niet het scenario van een spionagefilm, het is de modus operandi van de Stuxnet-worm. Dit computervirus werd afgelopen zomer voor het eerst aangetroffen op bedrijfsnetwerken. De cyberoorlog gaat daarmee een volgende fase in: die van de openlijke aanval op industriële doelen. Stuxnet mikt op computers waarop speciale Siemens-software draait. Daarmee worden wereldwijd de meeste industriële processen aangestuurd. Die van elektriciteitscentrales, maar ook de regeling van olie- en gasleidingen. En vorige week werd bekend dat de bagageverdeelsystemen van de Nederlandse firma Vanderlande Industries uit Veghel getroffen waren. Twee klanten van dit bedrijf, in Groot-Brittannië en India, hadden een Stuxnet-besmetting opgelopen. Die kon overigens probleemloos verwijderd worden want de gaten waarmee Stuxnet zich een weg baant door het bedrijfsnetwerk zijn inmiddels door Microsoft gedicht.
Maar Stuxnet blijft zich verspreiden, zelfs na het beschikbaar stellen van de kuur. Eind september waren 100.000 systemen besmet, waarvan het gros in Iran. De Europese dienst voor computerveiligheid, ENISA, stuurde deze week een waarschuwing rond dat hackers het op kritische infrastructuur voorzien hebben: „Dit was een van de eerste goed georganiseerde aanvallen tegen industriële processen”, aldus ENISA-directeur Udo Helmbrecht.
De waarschuwing volgt op een lijvig rapport dat antivirusbedrijf Symantec onlangs presenteerde. Een team onder leiding van onderzoeker Liam O Murchu heeft enkele maanden nodig gehad om Stuxnet tot op het bot te ontrafelen. O Murchu denkt dat tegen de tijd dat Stuxnet ‘in het wild’ gesignaleerd werd, afgelopen zomer, het werkelijke doel al getroffen was. Alleen is dat nieuws niet tot de buitenwereld doorgedrongen. „Bedrijven die zoiets overkomt hangen dat niet aan de grote klok”, aldus O Murchu.
Zeker niet als het om een Iraans doelwit gaat. Volgens het mogelijke aanvalsscenario in de 48 pagina’s tellende analyse werd Stuxnet geschreven om een specifiek doelwit aan te vallen – vermoedelijk een Iraanse centrale of een olieleidingnet. Er zijn in ieder geval veel besmettingen in Iran gevonden. Symantec leidt dit af uit de plekken vanwaar de Stuxnet-worm contact zoekt met zijn makers. Die hadden twee servers staan, in Denemarken en Maleisië, om Stuxnet van afstand te blijven volgen en te updaten. Zo werd stapsgewijs elke barrière in het bedrijfsnetwerk doorbroken, totdat uiteindelijk de pc bereikt werd die de programmable logic controller (PLC) kan programmeren en bedienen. Deze PLC is de computer die rechtstreeks de industriële processen aanstuurt, zoals motoren en de kleppen in een fabriek. Deze pc en de PLC staan meestal los van internet of het bedrijfsnetwerk en kunnen alleen bereikt worden door een usb-stick of een externe harde schijf.
Dat lijkt een goede beveiliging, maar in feite is het een zwakke plek in het systeem, zegt een Nederlandse PLC-programmeur die gespecialiseerd is in Siemens-software. Hij wil niet met zijn naam in de krant om zijn werkgever geen schade te berokkenen. „De computer die de PLC kan programmeren of bedienen is vaak een systeem waarop Windows draait. Zonder antivirussoftware, want daarvan wordt de computer trager.” Hij treft zulke pc’s aan op locaties met kritische infrastructuren, zoals energiecentrales en olieplatformen. „De computer wordt niet vaak van updates voorzien, omdat elke wijziging weer potentiële risico’s voor het bedrijfsproces met zich meebrengt.”
Voor spontaan ontploffende elektriciteitscentrales is de PLC-programmeur niet bang. De code van Stuxnet past daar niet op. „En als er toch iets misgaat met de software, dan wordt de centrale altijd nog via de hardware beschermd.” Voor de makers van Stuxnet kan hij wel enig respect opbrengen: „Dit is duidelijk geen werk van jonge scriptkiddies.”
Het blijft vooralsnog onduidelijk wie achter de aanval zit. „Het is in ieder geval een professionele organisatie met een politiek doel”, zegt Liam O Murchu van Symantec. Hij denkt dat voor de creatie van Stuxnet een team van 8 tot 10 mensen een half jaar aan het werk is geweest. Zo’n investering wijst op bemoeienis van een land of een overheidsdienst. Kennis over de verse Windows-lekken die Stuxnet gebruikte, kost op de zwarte markt tienduizenden euro’s.
Er zijn enkele vage aanwijzingen dat Israël ermee te maken heeft. Zo zit er in Stuxnet een code die naar een datum verwijst waarop een Israëlische spion geëxecuteerd werd in Iran. „Die hint kan ook zijn toegevoegd om Israël juist de schuld te geven”, zegt O Murchu. Het kan net zo goed de geboortedatum van de hacker zijn, zeggen andere veiligheidsexperts.
Met het James Bond-gehalte zit het verder wel goed: het was de bedoeling dat het bewijsmateriaal van de besmetting vernietigd werd, zodat Stuxnet helemaal onder de radar zou blijven. Stuxnet was geprogrammeerd om zichzelf te vernietigen, maar vreemd genoeg werkte dat niet. Als het virus onopgemerkt was gebleven, hadden de hackers hun truc kunnen blijven herhalen.
/s3/nrchub/pages/NN/20101013/101-page-full-adc969.jpg)