Henk Klomp
De code van de Stuxnet-worm is ontcijferd. Het doel van de worm was om Iran nog jarenlang van een atoomwapen af te houden.
‘Het was puur toeval. Ik kende de veldbus, zocht de fabrikant bij de in de broncode genoemde buscode en kwam terecht bij Varon, een Finse leverancier van frequentieregelaars’, vertelt Rob Hulsebos, onafhankelijk deskundige in industriële automatisering. Hulsebos leverde vorige week het laatste puzzelstukje aan voor de ontcijfering van de Stuxnet-worm. Hierdoor is Stuxnet al een jaar na de top secret cyberaanval op Iran geanalyseerd en gepubliceerd door beveiligingsbedrijven en fabrikanten. ‘Van over de hele wereld hebben experts aan de ontcijfering bijgedragen’, vertelt Hulsebos. ‘Mijn bijdrage is dat ik ontdekte dat een geïnfecteerde processor via de Profibus-veldbus valse getallen stuurt naar de frequentieregelaar.’ Een veldbus is een verzamelpunt van elektronische signalen om processen aan te sturen.
Â
De wereldwijd verspreide worm blijkt een destabilisator te zijn voor ultracentrifuges, een appraat dat voor atoomwapens geschikt uranium-235 kan scheiden van onbruikbaar uranium-238. Stuxnet wordt actief zodra de operator een ultracentrifuge met een frequentie tussen de 807 en 1210 Hertz laat draaien. Zonder dat de operator het merkt, laat de worm de elektromotor van de centrifuge draaien op eerst een hogere frequentie van 1410 Hertz en vervolgens op een lage frequentie van 2 Hertz. De cascade wordt hierdoor nooit operationeel, kan instabiel raken en individuele centrifuges kunnen zelfs exploderen. Stuxnet moest voorkomen dat Iran de duizenden ultracentrifuges die het aan het installeren is, werkend krijgt. Hulsebos: ‘De worm is grofweg een jaar ongemerkt actief geweest. In dat jaar zakte de Iraanse productie van verrijkt uranium inderdaad fors in.’
Â
De programmeurs van Stuxnet waren hoogstwaarschijnlijk medewerkers van een goed geïnformeerde militaire eenheid, die in een korte tijd met een budget van tientallen miljoenen het cyberwapen hebben gebouwd. Uit het ontcijferde logboek in de worm blijkt, dat het project in juni 2009 startte. Rond die tijd kwam uit dat Iran in het geheim bouwde aan een verrijkingsfaciliteit diep in een grot in Qom, beschermd tegen luchtaanvallen. Volgens het International Atomic Energy Agency (IAEA) kan Iran met die faciliteit binnen zeven maanden een atoomwapen hebben. Stuxnet gebruikt dezelfde bugs in Windows als het Conficker-virus, dat vorig jaar op zijn hoogtijdagen was. De Iraanse ultracentrifuges werden ook (in elk geval deels) door Windows aangestuurd.
Â
Iran garandeert de IAEA al jaren dat het alleen uranium verrijkt voor energievoorziening. Vorig jaar veroordeelden president Obama, Sarkozy en Brown gezamenlijk de nieuwe faciliteit in Qom, die volgens hen geen maatschappelijk doel kan dienen. Sabotage teistert het atoomprogramma van Iran overigens al langer: in 2006 sneuvelden vijftig centrifuges doordat de Turkse generatoren verkeerde stromen afgaven.
