De zeer geavanceerde Stuxnetworm die de Iraanse uraniumverrijkingscentrale in Natanz infecteerde is niet door een bug in de programmacode ontsnapt. Daarnaast is Stuxnet niet één wapen, maar twee wapens, zo stelt de Duitse beveiligingsonderzoeker Ralph Langner die de worm drie jaar analyseerde.

Langner was vanaf het begin bij de analyse van Stuxnet betrokken. In een nieuwe analyse van Stuxnet maakt de Duitser duidelijk dat het niet om één cyberwapen gaat, maar twee. De tweede variant van Stuxnet, die de snelheid van de rotoren in de centrifuges veranderde die voor het verrijken van uranium werden gebruikt, kreeg alle aandacht. Het was echter dankzij deze variant dat de eerste en "vergeten" variant kon worden ontdekt.

Deze eerste variant omschrijft Langner als een "nachtmerrie" voor iedereen die de veiligheid van industriële controlesystemen begrijpt. De eerste Stuxnetworm nam voor 21 seconden de sensorwaardes van het beveiligingssysteem op, om die vervolgens aan de beheerders te laten zien. In de achtergrond werd vervolgens de druk op de kleppen verhoogd, maar de beheerders kregen dit nooit te zien. De verhoogde druk zou de centrifuges permanent hebben kunnen beschadigen.

Tweede variant

De eerste variant, die fysiek op het systeem van het slachtoffer geïnstalleerd moest worden, opereerde meer als een programma en was veel beter verborgen dan de tweede variant. Deze tweede variant gedroeg zich heel anders, was veel eenvoudiger en minder verborgen dat zijn voorganger.

Volgens Langner duidt dit erop dat een nieuwe organisatie zich met Stuxnet bezighield en de motieven voor het gebruik van het cyberwapen waren veranderd. Stuxnet gebruikte opeens verschillende zero-day-lekken en kon zich via USB-sticks en netwerken verspreiden. Daarnaast waren dit keer de rotoren het doelwit.

Programmeerfout

Na de eerste analyses van Stuxnet werd gezegd dat de worm door een programmeerfout uit de centrale zou zijn "ontsnapt", maar dat is niet waar merkt Langner op. "Het is een goed verhaal, maar het kan niet waar zijn." Stuxnet verspreidde zich alleen via computers die aan hetzelfde lokale netwerk hingen of die bestanden via USB-sticks uitwisselden. "Stuxnet verspreidde zich voornamelijk via menselijke handen, maar in deze tijd van remote toegang via modems of via Internet virtual private networks, kunnen menselijke handen zich over continenten uitstrekken." Aannemers in de verrijkingscentrale werkten ook voor andere klanten, en Langner acht het waarschijnlijk dat deze aannemers hun met Stuxnet-geïnfecteerde laptops op de netwerken van hun andere klanten aansloten en die zodoende infecteerden.

Aangezien Stuxnet het IP-adres en hostnames van besmette systemen aan de Command & Control-servers doorgaf, lijkt het erop dat de aanvallers anticipeerden dat ook systemen van "non combatants" geïnfecteerd zouden raken. Systemen die ze ook graag monitorden. Deze monitoring zou namelijk informatie opleveren over aannemers die in Natanz werkten, alsmede hun klanten en mogelijk andere clandestiene nucleaire faciliteiten in Iran.

Onthulling

Doordat er voor een andere tactiek werd gekozen accepteerden de makers ook het risico dat Stuxnet ontdekt zou worden. Dat was het einde van de Stuxnet-operatie, maar niet voor de toepassing van de worm. In tegenstelling tot traditionele Pentagon-hardware, kan iemand geen USB-sticks tijdens een militaire parade tonen, aldus Langner. De onthulling van Stuxnet liet wel zien wat cyberwapens in de handen van een supermacht kunnen doen.

Daarnaast redde het Amerika ook van het gezichtsverlies als een ander land, mogelijk zelfs een tegenstander, zou hebben laten zien dat het als eerste effectief in het digitale domein was. "Het zou weer een Spoetnik-moment in de Amerikaanse geschiedenis zijn, dus er waren voldoende goede redenen om het succes van de missie niet uit angst voor detectie op te offeren."