Jarenlang heeft een blijvend mysterie de Stuxnet-virusaanval rondom het nucleaire programma van Iran omsingeld: hoe hebben de VS en Israël hun malware op computersystemen binnengebracht in de streng beveiligde uraniumverrijkingsfabriek?
Het eerste virus in zijn soort, ontworpen om het nucleaire programma van Iran te saboteren, lanceerde effectief het tijdperk van digitale oorlogvoering en werd enige tijd in 2007 losgelaten, nadat Iran zijn eerste batch centrifuges begon te installeren in een controversiële verrijkingsfabriek nabij het dorp Natanz.
De koerier achter die inbraak, wiens bestaan en rol nog niet eerder is gemeld, was een binnenste mol die werd gerekruteerd door Nederlandse inlichtingenagenten in opdracht van de CIA en de Israëlische inlichtingendienst, de Mossad, volgens bronnen die met Yahoo News spraken.
Een door de Nederlandse inlichtingendienst AIVD aangeworven Iraanse ingenieur heeft volgens vier inlichtingenbronnen kritieke gegevens verstrekt die de Amerikaanse ontwikkelaars hebben geholpen hun code op de systemen in Natanz te richten. Die mol bood vervolgens de broodnodige interne toegang toen het tijd werd om Stuxnet op die systemen te plaatsen met behulp van een USB-stick.
De Nederlanders werden in 2004 gevraagd om de CIA en Mossad te helpen toegang te krijgen tot de fabriek, maar het was pas drie jaar later dat de mol, die zich voordeed als monteur die voor een frontbedrijf werkte bij Natanz, het digitale wapen afleverde naar de gerichte systemen. “De Nederlandse mol was de belangrijkste manier om het virus in Natanz te krijgen,” vertelde een van de bronnen aan Yahoo.
De CIA noch de Mossad hebben gereageerd op vragen van Yahoo News over de informatie. De AIVD weigerde commentaar te geven op haar betrokkenheid bij de operatie.
De nu beroemde geheime operatie, bekend als “Olympische Spelen”, was niet bedoeld om het nucleaire programma van Iran volledig te vernietigen, maar om het een tijdje terug te zetten om tijd te kopen voor sancties en diplomatie. Die strategie was succesvol om Iran aan de onderhandelingstafel te brengen en resulteerde uiteindelijk in een overeenkomst met het land in 2015.
De openbaring van Nederlandse betrokkenheid grijpt terug naar een tijd waarin er nog steeds uitgebreide samenwerking en een sterke, multilaterale overeenkomst tussen de VS en hun bondgenoten was over hoe om te gaan met het Iraanse nucleaire programma – een situatie die vorig jaar veranderde nadat de regering Trump zich terugtrok het zwaarbevochten nucleaire akkoord met Teheran.
De Olympische Spelen-operatie was in de eerste plaats een gezamenlijke VS-Israëlische missie waarbij de NSA, de CIA, de Mossad, het Israëlische ministerie van Defensie en de Israëlische SIGINT nationale eenheid betrokken waren, het equivalent van Israël van de NSA.
Maar de VS en Israël hadden hulp van drie andere landen, volgens bronnen, vandaar de geheime codenaam die een knipoog gaf naar het vijfring-symbool van ’s werelds beroemdste internationale sportevenement.
Twee van de drie deelnemende spelers waren Nederland en Duitsland. De derde wordt verondersteld Frankrijk te zijn, hoewel Britse inlichtingen ook een rol hebben gespeeld.
Duitsland heeft technische specificaties en kennis bijgedragen over de industriële besturingssystemen van het Duitse Siemens, die volgens bronnen in de Iraanse fabriek werden gebruikt om de centrifuges te regelen. Men denkt dat Frankrijk soortgelijke informatie heeft verstrekt.
Maar de Nederlanders waren in een unieke positie om een andere rol te vervullen – het leveren van belangrijke informatie over de activiteiten van Iran om apparatuur uit Europa te kopen voor zijn illegale nucleaire programma, evenals informatie over de centrifuges zelf.
Dit komt omdat de centrifuges in Natanz waren gebaseerd op ontwerpen die in de jaren zeventig door een Pakistaanse wetenschapper Abdul Qadeer Khan waren gestolen van een Nederlands bedrijf. Khan stal de ontwerpen om het nucleaire programma van Pakistan te bouwen en ging vervolgens over naar de verkoop aan andere landen, waaronder Iran en Libië.
De Nederlandse inlichtingendienst, bekend als AIVD, heeft samen met Amerikaanse en Britse inlichtingendiensten Khan’s toeleveringsnetwerk van Europese consultants en frontbedrijven geïnfiltreerd die hebben geholpen bij de opbouw van de nucleaire programma’s in Iran en Libië.
Bij die infiltratie ging het niet alleen om old-school tradecraft, maar ook om aanstootgevende hackactiviteiten die werden ontwikkeld als onderdeel van het snel groeiende veld van digitale spionage.
De cybercapaciteiten van AIVD zijn nu bekend – vorig jaar werd onthuld dat AIVD verantwoordelijk was voor het tippen van de FBI aan de 2016 hack van het Democratic National Committee, kennis die het had opgedaan omdat zijn medewerkers computers van de Russische hackgroep hadden gehackt als Cosy Bear in 2014 en keken in 2015 toen de Russen computers binnendrongen bij het Amerikaanse ministerie van Buitenlandse Zaken en de DNC.
Maar in de begindagen van het nucleaire programma van Iran was het hackingsteam van de AIVD klein en nog steeds in ontwikkeling.
Het Iraanse programma, dat al jaren op een laag pitje stond, trapte in 1996 in een hoge versnelling, toen Iran in het geheim een set blauwdrukken en centrifugeonderdelen van Khan kocht. In 2000 brak Iran de grond in Natanz met plannen om een faciliteit te bouwen met 50.000 draaiende centrifuges voor het verrijken van uraniumgas. In datzelfde jaar hackte de AIVD het e-mailsysteem van een belangrijke Iraanse defensieorganisatie in een poging meer informatie te verkrijgen over de nucleaire plannen van Iran, volgens bronnen.
Israëlische en westerse inlichtingendiensten volgden in het geheim de voortgang in Natanz in de komende twee jaar, tot augustus 2002, toen een Iraanse dissidentengroep het Iraanse programma openbaar maakte tijdens een persconferentie in Washington, DC, met behulp van informatie van de inlichtingendiensten.
Inspecteurs van het International Atomic Energy Agency, het orgaan van de Verenigde Naties dat nucleaire programma’s over de hele wereld controleert, eisten toegang tot Natanz en waren gealarmeerd om te ontdekken dat het Iraanse programma veel verder was dan gedacht.
Iran werd gedwongen in te stemmen met het stopzetten van alle activiteiten in Natanz, terwijl de IAEA meer informatie over het nucleaire programma wilde verkrijgen en de opschorting in heel 2004 en het grootste deel van 2005 werd voortgezet. Maar het was slechts een kwestie van tijd voordat de operaties in Natanz werden hervat , en de CIA en de Mossad wilden binnen zijn wanneer ze dat deden.
Het verzoek aan de Nederlanders om hulp hierbij kwam eind 2004, toen een Mossad-contactpersoon van de Israëlische ambassade in Den Haag en een CIA-functionaris op de Amerikaanse ambassade een vertegenwoordiger van de AIVD ontmoetten.
Er was nog geen sprake van het invoegen van een digitaal wapen in de controlesystemen van Natanz; het doel was toen nog slechts intelligentie.
Maar de timing was niet willekeurig. In 2003 hadden Britse en Amerikaanse inlichtingendiensten een enorme staatsgreep neergezet toen ze een schip onderschepten met duizenden centrifugecomponenten op weg naar Libië – componenten voor hetzelfde model centrifuges dat in Natanz werd gebruikt. De verzending leverde duidelijk bewijs op van het illegale nucleaire programma van Libië.
Libië werd overgehaald het programma op te geven in ruil voor het opheffen van sancties, en stemde ook in met afstand te doen van alle reeds ontvangen componenten.
In maart 2004 hadden de VS, onder protest van de Nederlanders, de componenten van het schip en die al in Libië in beslag genomen en naar het Oak Ridge National Lab in Tennessee en naar een faciliteit in Israël gevlogen. In de komende maanden verzamelden wetenschappers de centrifuges en bestudeerden ze om te bepalen hoe lang het zou kunnen duren voordat Iran voldoende gas verrijkt om een bom te maken. Hieruit kwam het complot om de centrifuges te saboteren.
Het Nederlandse inlichtingenbureau had al een insider in Iran, en nadat het verzoek van de CIA en Mossad binnenkwam, besloot de mol twee parallelle sporen op te zetten – elk met een lokaal frontbedrijf – in de hoop dat men erin zou slagen Natanz binnen te komen .
Het opzetten van een dummybedrijf met medewerkers, klanten en records die een geschiedenis van activiteit tonen, kost tijd en er was weinig tijd.
Eind 2005 kondigde Iran aan dat het zich terugtrok uit de opschortingsovereenkomst en in februari 2006 begon het zijn eerste partij uraniumhexaflouridegas te verrijken in een pilootfabriek in Natanz.
De Iraniërs stuitten echter op problemen die hen vertraagden en pas in februari 2007 lanceerden ze formeel het verrijkingsprogramma door de eerste centrifuges in de hoofdhallen van Natanz te installeren.
Tegen die tijd was de ontwikkeling van de aanvalscode al lang aan de gang. Er werd enige tijd in 2006 een sabotagetest uitgevoerd met centrifuges en gepresenteerd aan president George Bush, die toestemming gaf voor de geheime operatie zodra hem werd getoond dat het daadwerkelijk kon slagen.
Tegen mei 2007 had Iran 1.700 centrifuges geïnstalleerd in Natanz die gas verrijkten, met plannen om dat aantal tegen de zomer te verdubbelen. Maar ergens vóór de zomer van 2007 was de Nederlandse mol in Natanz.
Het eerste bedrijf dat de mol had opgericht was er niet in geslaagd om Natanz binnen te komen – er was een probleem met de manier waarop het bedrijf was opgericht, volgens twee van de bronnen, en “de Iraniërs waren al verdacht”, legde een uit.
Het tweede bedrijf kreeg echter hulp van Israël. Dit keer slaagde de Nederlandse mol, die van opleiding ingenieur was, erin Natanz binnen te komen door zich voor te doen als monteur.
Zijn werk omvatte niet het installeren van de centrifuges, maar het bracht hem waar hij moest zijn om configuratie-informatie over de systemen daar te verzamelen. Blijkbaar keerde hij in de loop van enkele maanden een paar keer terug naar Natanz.
“[Hij] moest … verschillende keren ophalen om essentiële informatie te verzamelen [die zou kunnen worden gebruikt] om het virus dienovereenkomstig bij te werken,” vertelde een van de bronnen aan Yahoo News.
De bronnen gaven geen details over de informatie die hij verzamelde, maar Stuxnet was bedoeld als een precisieaanval die zijn sabotage alleen zou ontketenen als het een zeer specifieke configuratie van apparatuur en netwerkcondities zou vinden.
Met behulp van de informatie die de mol verstrekte, konden de aanvallers de code bijwerken en die precisie bieden.
Er zijn zelfs aanwijzingen dat de code gedurende deze periode is bijgewerkt. Volgens het beveiligingsbedrijf Symantec, dat Stuxnet reverse-engineered nadat het was ontdekt, brachten de aanvallers de code in mei 2006 en opnieuw in februari 2007 bij, net toen Iran de centrifuges in Natanz begon te installeren.
Maar ze brachten de code op 24 september 2007 definitief aan door de belangrijkste functies te wijzigen die nodig waren om de aanval af te breken, en compileerden de code op die datum. Het compileren van code is de laatste fase voordat deze wordt gestart.
De code is ontworpen om uitlaatkleppen op willekeurige aantallen centrifuges te sluiten, zodat er gas in kan gaan maar er niet uit kan. Dit was bedoeld om de druk in de centrifuges te verhogen en na verloop van tijd schade te veroorzaken en ook om gas te verspillen.
Deze versie van Stuxnet kon maar op één manier worden verspreid – via een USB-stick. De besturingssystemen van Siemens in Natanz waren lucht-gapped, wat betekent dat ze niet waren verbonden met internet, dus de aanvallers moesten een manier vinden om die kloof te overbruggen om hen te infecteren.
Ingenieurs bij Natanz programmeerden de besturingssystemen met code die op USB-flashdrives was geladen, dus de mol installeerde de code zelf rechtstreeks door een USB in de besturingssystemen te steken of hij infecteerde het systeem van een ingenieur, die vervolgens onbewust Stuxnet afleverde toen hij de controlesystemen met behulp van een USB-stick.
Toen dat eenmaal was bereikt, keerde de mol niet meer terug naar Natanz, maar de malware werkte in 2008 sabotage. In 2009 besloten de aanvallers de tactiek te veranderen en lanceerden in juni dat jaar een nieuwe versie van de code en opnieuw in maart en april 2010.
Deze versie, in plaats van de kleppen op de centrifuges te sluiten, varieerde de snelheid waarmee de centrifuges draaiden, of versnelde ze tot een niveau waarboven ze waren ontworpen om te centrifugeren en te vertragen.
Het doel was om zowel de centrifuges te beschadigen als de efficiëntie van het verrijkingsproces te ondermijnen.
Met name hadden de aanvallers deze versie van de aanvalscode ook bijgewerkt en gecompileerd op 24 september 2007, toen ze de code voor de eerste versie hadden gecompileerd – wat suggereert dat de intelligentie die de Nederlandse mol in 2007 had verstrekt mogelijk heeft bijgedragen aan deze versie. ook.
Tegen de tijd dat deze latere versie van de code werd vrijgegeven, hadden de aanvallers echter de interne toegang tot Natanz verloren die ze via de mol hadden genoten – of misschien hadden ze het gewoon niet meer nodig. Ze brachten deze versie van Stuxnet naar Natanz door externe doelen te infecteren die het in de fabriek brachten.
De doelen waren werknemers van vijf Iraanse bedrijven – allemaal aannemers die industriële besturingssystemen in Natanz en andere faciliteiten in Iran installeerden – die onbewuste koeriers werden voor het digitale wapen.
“Het is verbazingwekkend dat we nog steeds inzichten krijgen in het ontwikkelingsproces van Stuxnet [10 jaar na de ontdekking]”, zegt Liam O’Murchu, directeur ontwikkeling voor de divisie Security Technology and Response bij Symantec. O’Murchu was een van de drie onderzoekers van het bedrijf die de code omdraaide nadat deze was ontdekt.
“Het is interessant om te zien dat ze dezelfde strategie hadden voor [de eerste versie van Stuxnet] maar dat het een meer handmatig proces was. … Ze moesten iemand op de grond hebben wiens leven gevaar liep toen ze deze operatie stopten. ‘
O’Murchu denkt dat de verandering in tactiek voor de latere versie van Stuxnet een teken kan zijn dat de mogelijkheden van de aanvallers zijn verbeterd, zodat ze niet langer een binnenste mol nodig hebben.
“Misschien … in 2004 hadden ze niet de mogelijkheid om dit op een geautomatiseerde manier te doen zonder iemand op de grond te hebben,” zei hij. “Terwijl ze vijf jaar later de hele aanval konden uitvoeren zonder een goed op de grond te hebben en iemand in gevaar te brengen.”
Maar hun latere tactiek had een ander nadeel. De aanvallers hebben meerdere verspreidingsmechanismen aan deze versie van de code toegevoegd om de kans te vergroten dat het de doelsystemen in Natanz zou bereiken.
Dit zorgde ervoor dat Stuxnet wild uit de hand liep, eerst naar andere klanten van de vijf aannemers en vervolgens naar duizenden andere machines over de hele wereld, wat leidde tot de ontdekking en de publieke bekendheid van Stuxnet in juni 2010.
Maanden na de ontdekking van Stuxnet gaf een website in Israël aan dat Iran verschillende werknemers in Natanz had gearresteerd en mogelijk had geëxecuteerd in de overtuiging dat zij de malware op systemen in de fabriek hadden helpen krijgen.
Twee van de informatiebronnen die met Yahoo News spraken, gaven aan dat er inderdaad levens was verloren via het Stuxnet-programma, maar zeiden niet of dit de Nederlandse mol was.
Hoewel Stuxnet het Iraanse programma niet aanzienlijk heeft teruggeschroefd – vanwege de voortijdige ontdekking – heeft het wel tijd helpen kopen voor diplomatie en sancties om Iran aan de onderhandelingstafel te brengen.
Stuxnet veranderde ook de aard van oorlogvoering en lanceerde een digitale wapenwedloop. Het bracht andere landen, waaronder Iran, ertoe om de waarde in te zien van het gebruiken van offensieve cyberoperaties om politieke doelen te bereiken – een gevolg waar de VS sindsdien mee te maken heeft.
Generaal Michael Hayden, voormalig hoofd van de CIA en de NSA, erkende de baanbrekende aard ervan toen hij de Stuxnet-operatie vergeleek met de atoombommen die op Hiroshima en Nagasaki waren gevallen.
“Ik wil niet doen alsof het hetzelfde effect is,” zei hij, “maar in zekere zin is het tenminste augustus 1945.”
Zou kunnen … maar is niet te verifiëren.