De Nederlandse AIVD-agent Erik van Sabben wist in 2007 het Iraanse atoomprogramma binnen te dringen. Daarbij maakte hij succesvol gebruik van het Stuxnet-virus, ontwikkeld door de Amerikaanse en Israëlische veiligheidsdiensten.
De Volkskrant onthulde eerder vandaag dat Van Sabben een cruciale rol bij het neerhalen van Iraanse nucleaire apparaat had. De AIVD-agent, die kort na zijn missie in Dubai overleed aan de gevolgen van een motorongeluk, voerde in samenwerking met de CIA en het Israëlische Mossad een geheime opdracht uit die bijna duizend ultracentrifuges onklaar maakte. Daardoor kon Iran niet langer uranium verrijken om de eigen nucleaire ambities waar te maken. De AIVD wist van niets, net als de Nederlandse regering, destijds geleid door premier Balkenende. De huidige politieke partijen in Den Haag reageren dan ook geschokt. Zelfs de commissie-Stiekem, die de parlementaire controle op de AIVD en MIVD overziet, was niet ingelicht.
Tip: Onderzoeken gestart naar spionage door Chinese ex-werknemer ASML
De geheime missie vond plaats in het Natanz-complex in Iran, dat op geen enkele manier met het internet verbonden is.
Stuxnet
Het geheime wapen hierbij was het Stuxnet-virus, waarvan de oorspronkelijke versie als doelstelling had om de rotoren in de centrifuges te hard te laten draaien. Wegens het exploiteren van een viertal Windows-zerodays wist het virus die informatie af te schermen van de Iraanse systeemadministrateurs. In plaats van de actuele waarden zagen zij 21 seconden lang een eerdere opname van de centrifuge-data.
Stuxnet zat verstopt in waterpompen die door het bedrijf van Van Sabben geïnstalleerd moesten worden. Hij werkte voor transportbedrijf TTS uit Dubai. Net als andere partijen negeerde zijn bedrijf de handelsrestricties die tegen Iran liepen.
De VS en Israël hadden al sinds 2005 aan het virus gewerkt, het jaar waarin ook Van Sabben werd gerekruteerd door de AIVD. De Amerikanen en Israëliërs wisten zelf geen geheim agent in de buurt van de nucleaire faciliteit van Iran te krijgen. De oplossing: het rekruteren van Van Sabben. Hoewel de AIVD op de hoogte werd gesteld van het bestaan van een ‘ultrageheime missie’ door CIA-directeur Michael Hayden, bleef de rol van de Nederlander onbesproken.
Na de eerste infectie via een usb-stick kon Stuxnet zich razendsnel verspreiden naar andere systemen. Dit was mogelijk doordat het verschillende ‘privilege holes’ uitbuitte. Het scande voor Siemens Step7-software binnen het netwerk, dat de PLC’s binnen de centrifuges kon aansturen. Doordat er vier Windows-kwetsbaarheden tegelijkertijd geëxploiteerd werden, kon de software echter ook voor talloze andere doeleinden effectief zijn. Dit was al helemaal het geval omdat twee van de vier Windows-zerodays lange tijd ongepatcht bleven. In 2010 karakteriseerde Kaspersky Stuxnet daarom al als een “echte uitblinker onder de malware“.
Pas in 2012 komt door The New York Times naar buiten wat er zich in Iran had afgespeeld, hoewel de rol van de Nederlandse agent daarbij nog onbekend bleef. In de NYT-reconstructie werd al wel de manier waarop Stuxnet de buitenwereld bereikt, onthuld. Een laptop van een Iraanse wetenschapper was door Stuxnet geïnfecteerd, waarna deze werknemer in de zomer van 2010 het apparaat met het internet verbond. Stuxnet verspreidde zich direct online en werd onder meer door cybercriminelen ontdekt.
Opgepikt door cybercriminelen
De impact van Stuxnet wordt door het lek vanuit de Iraanse laptop nog veel groter. Andere industriële faciliteiten kregen te maken met Duqu in 2011, een opvolger gebaseerd op Stuxnet-code die keystrokes en andere data kon stelen. Ook Flame, dat een jaar later tevoorschijn kwam, kon in detail de acties van gebruikers op een Windows-pc monitoren. Deze spyware sloeg onder meer Skype-gesprekken en screenshots op. Trellix benoemt nog een aantal andere voorbeelden, met name gericht op organisaties in het Midden-Oosten. Echter wist het zogeheten Havex, tevens op Stuxnet gebaseerd, ook slachtoffers te bereiken in Noord-Amerika en Europa.
2 dagen geleden
