Stuxnet en de rol van menselijke fouten

Stuxnet en de rol van menselijke fouten

Afgelopen weken haalde ’s werelds bekendste cyberaanval – Stuxnet – opnieuw de Nederlandse voorpagina’s. Hoewel er inmiddels al het nodige bekend was over deze aanval, bleef één vraag lang onbeantwoord: hoe kwam het computervirus binnen het hermetisch afgesloten en zwaar beveiligde Iraanse nucleaire complex? Ondanks alle speculaties werd hier nooit definitief antwoord op gegeven. Totdat onderzoek van de Volkskrant in januari 2024 onthulde dat het de Nederlandse ingenieur Erik van Sabben was die in 2007 het zwaarbeveiligde Iraanse nucleaire complex in Natanz wist te infiltreren en hier apparatuur installeerde die het Iraanse kernwapenprogramma kon saboteren.

Hoewel deze ingenieuze en complexe cyberaanval natuurlijk vooral een knap staaltje programmeerwerk is – men vermoedt dat er meerdere manjaren en miljarden dollars in het ontwikkelen van het virus geïnvesteerd zijn – rustte de aanval ook deels op menselijk falen om te slagen. In deze blog zullen we de Stuxnet-aanval kort reconstrueren en aantonen waarom zelfs bij incidenten op deze schaal de menselijke factor niet onderschat kan worden.

Achtergrond

Voordat we in detail treden over de Stuxnet-aanval, is het misschien handig kort je geheugen op te frissen. Hoe zat het ook alweer met deze bekende cyberaanval? Zoals in de introductie gemeld, werd het beruchte Stuxnet-virus gebruikt om het Iraanse atoomprogramma te saboteren. Eenmaal binnengedrongen in de systemen van het Iraanse nucleaire complex in Natanz, zorgde het virus ervoor dat de centrifuges – die gebruikt worden om uranium te verrijken tot kernbrandstof – tot ver boven hun maximale capaciteit begonnen te draaien.

Toch zorgde het ingenieuze virus er tegelijkertijd voor dat alle waarschuwingen op het controlepaneel uitgeschakeld bleven. Hierdoor ontdekten de Iraniërs pas dat er iets mis was toen de centrifuges onherstelbare schade hadden opgelopen, met een jarenlange vertraging van hun atoomprogramma tot gevolg. Al snel werd er naar de VS en Israël gewezen als meesterbreinen achter de ontwikkeling van deze aanval, die over het algemeen beschouwd wordt als de eerste keer dat malware gebruikt werd om kritieke infrastructuur in een ander land aan te vallen.

Ontwikkeling van het Stuxnet virus

Het Stuxnet-virus richtte zich specifiek op apparaten van Siemens (PLC’s) die in het Iraanse nucleaire complex gebruikt werden om de centrifuges aan te sturen. Stuxnet benutte maar liefst vier ‘zero day vulnerabilities’ (nog niet eerder ontdekte fouten in een software of code): een uitzonderlijk hoog aantal. Hoewel het getuigt van de kennis en het specialisme van het ontwikkelingsteam achter het virus, is het ook een teken van de menselijke kwetsbaarheid. Men zou immers kunnen stellen dat met een foutloze code de PLC’s van Siemens nooit op deze manier gesaboteerd hadden kunnen worden. Toegegeven, het ontwikkelen van een foutloze code is wellicht een utopie, maar het is aannemelijk dat met meer tijd en aandacht aan SecDevOps (een deel van) deze ‘zero days’ al door ontwikkelaars van Siemens zelf ontdekt en gepatcht zouden zijn. Dit illustreert wederom dat de menselijke factor zelfs bij cyberincidenten op deze schaal onontkoombaar is.

Daarnaast gaat er een onbevestigd gerucht dat de CIA en Mossad bij de ontwikkeling van het virus gebruik hebben gemaakt van phishingmails om gegevens over het Iraanse complex bij de medewerkers te ontfutselen. Dit zou de geheime diensten inzicht hebben gegeven in de software en systemen die in de nucleaire faciliteit gebruikt werden, om zo het virus hier gericht op af te kunnen stellen. Het spreekt voor zich dat dit, mits het gerucht klopt, zonder menselijke fouten (het klikken op phishingmails dus) niet gelukt was.

Verspreiding van het Stuxnet-virus

Ook bij het infiltreren van het complex en de verspreiding van het virus gaat men ervan uit dat er gebruik is gemaakt van ‘social engineering’ om de aanval tot een succes te maken. De voornaamste theorie over hoe het virus uiteindelijk op de systemen van de Iraanse faciliteit is beland, is dat de Nederlandse spion gebruik heeft gemaakt van simpele USB-sticks. Erik van Sabben was werkzaam voor een transportbedrijf in Dubai dat regelmatig zaken deed in Iran. Zo leverde het bedrijf onderdelen voor de Iraanse olie- en gasindustrie, wat de spion in de ideale positie bracht om apparatuur bij het Iraanse nucleaire complex naar binnen te krijgen. Men vermoedt dat hij binnen of nabij het complex, USB-sticks met het virus heeft achtergelaten en vervolgens vertrouwde op de nieuwsgierigheid van de Iraanse ingenieurs om deze in een computer te steken. Zo kon het virus de systemen van het nucleaire complex ongezien binnendringen. Als deze theorie klopt, getuigt dit opnieuw van de cruciale rol die mensen spelen om cyberaanvallen tot een succes te brengen.

Eerlijkheid gebiedt overigens te zeggen dat er op basis van het onderzoek van de Volkskrant een alternatieve theorie is ontstaan over het binnensmokkelen van het virus: de CIA zou het Stuxnet-virus op een waterpomp die de Nederlandse AIVD-agent in het Iraanse complex moest installeren hebben verstopt. Gezien de hoge mate van vertrouwelijkheid van deze kwestie, kunnen de betrokken inlichtingendiensten hier logischerwijs geen uitsluitsel over geven. Het is zelfs mogelijk dat zowel de besmette waterpomp als de USB-sticks gebruikt zijn bij de aanval. Eén ding is overigens zeker: zonder menselijke interventies zou het virus niet op de Iraanse systemen beland zijn.

Wat betekent dit voor jou?

Het voorbeeld van het Stuxnet-virus laat zien dat zelfs bij de meest complexe digitale aanvallen nog steeds vertrouwd wordt op menselijke interventies om te slagen. Met meer aandacht voor SecDevOps en het herkennen van phishing en social engineering, was de kans van slagen van de initiële Stuxnet-aanval een stuk kleiner geweest. Vandaar dat vertrouwen in technische maatregelen alleen, niet voldoende is. Als zelfs een zwaarbeveiligde nucleaire faciliteit zonder directe toegang tot het internet kan worden aangevallen met een virus, zou het naïef zijn om te denken dat het jouw organisatie niet kan overkomen. Medewerkers dienen zich bewust te zijn van de grootste digitale risico’s en hun rol in het beschermen van zowel hun persoonlijke gegevens als die van de organisatie, om zo jouw organisatie weerbaarder te maken tegen online dreigingen. Kan jij hier wel wat hulp bij gebruiken of ben je op zoek naar meer informatie? Neem dan contact met ons op via het contactformulier.