Kieskeurige computersaboteur slaat toe met digitaal schot hagel

Computervirussen hebben het doorgaans gemunt op bankrekeningen. Of op de codes die toegang bieden tot online-bankrekeningen. Of op websites of computersystemen van een bank. Hackers hopen munt slaan uit hun digitale inbraakpogingen. Stuxnet, het computervirus dat de afgelopen week wereldnieuws werd, gaat tekeer zonder schijnbaar financieel gewin.

Wellicht is dat de reden waarom het computervirus zo lang onder de radar is gebleven. Stuxnet richt zijn pijlen op een ogenschijnlijk saai, alledaags doelwit. Het probeert specifieke software te veranderen die de regelapparatuur van industriële installaties bestuurt, bijvoorbeeld om een gaskraan dicht te draaien of de temperatuur in een staaloven te bepalen. Welk genoegen de scheppers van Stuxnet daaruit putten, was computerbeveiligers maandenlang een raadsel.

Tot het begon op te vallen dat Stuxnet zich vooral had genesteld op pc's in Iran. De software waarop Stuxnet loert, wordt ook gebruikt voor geautomatiseerde processen in Irans nucleaire installaties. Installaties die het regime liefst verborgen houdt voor atoominspecteurs. Iran wil geen pottenkijkers, ook al zegt de regering dat zij het uranium voor vreedzame toepassingen wil gebruiken.

Of Stuxnet speciaal is ontworpen om roet in het eten te gooien van de Iraanse atoomprogramma, durft Ralph Langner niet voor zijn rekening te nemen. Maar voor de Duitse computerexpert staat vast dat het virus een 'cybergeleidewapen' is. 'Dit is een honderd procent sabotagemiddel, een cyberwapen dat erop gericht is om specifieke industriële processen in de reële wereld te ontwrichten', aldus Langner op de website van The Christian Science Monitor.

Onafhankelijke deskundigen bevestigen Langners lezing. Stuxnet komt alleen in actie als het op een Windows-computer besturingssoftware ontdekt van Siemens, waarmee ingenieurs regelapparatuur programmeren. Het Duitse concern bevestigt dat het virus zijn WinCC/PCS 7-software probeert over te nemen. Siemens heeft het op vijftien systemen van klanten aangetroffen. Een programma dat het virus onklaar maakt, is twaalfduizend keer gedownload.

Computerbeveiligers noemen Stuxnet ongebruikelijk groot en complex en de eerste worm - een programma dat zichzelf kopieert en verspreidt via computernetwerken - die een lading draagt om programmeerbare regelsystemen te saboteren. Stuxnet werd ontdekt in juni, maar lijkt al een jaar geleden in omloop gebracht. Het virus maakte gebruik van manco's in Windows die maanden geleden nog niet waren ontdekt.

Wat opvalt aan Stuxnet, is dat het zich heel kieskeurig gedraagt, ofschoon het de kenmerken heeft van een schot hagel. Het neemt niet alle regelapparatuur te grazen die met de Siemens-code wordt geprogrammeerd. Het lijkt te kijken naar commando's voor specifieke functies - en het is onduidelijk wat er dan precies gebeurt. 'Als de originele softwarecode niet langer wordt uitgevoerd, dan valt te verwachten dat er iets snel zal ploffen', zegt Langner in een analyse. 'Iets groots', voegt hij eraan toe.

Als Iraanse installaties het doelwit waren, heeft Stuxnet mogelijk zijn missie al voltooid, speculeren Langner en andere beveiligingsexperts. Zo werd onlangs bekend dat de kerncentrale die Iran heeft laten bouwen bij Bushehr, later in bedrijf komt dan de bedoeling was. De Iraniërs ontkennen dat het virus schade aan nucleaire installaties heeft aangericht.