Stux-net-niet
In het begin van 2024 kwam Volkskrantjournalist Huib Modderkolk met zijn onthulling dat een Nederlander, Erik van Sabben, vlak voor zijn overlijden een doorslaggevende rol gespeeld zou hebben bij de Amerikaans-Israëlische digitale aanval met het Stuxnet virus op de Iraanse nucleaire complex in Natanz. Bij nadere beschouwing lijkt de Nederlandse component in dit grote verhaal beperkt te zijn geweest, stelt Bart Jacobs, hoogleraar computerbeveiliging en privacy.
Achtergrond
Zo’n twintig jaar geleden begon Iran met de ontwikkeling van een eigen atoombom. Een belangrijk onderdeel daarvan was de verrijking van uranium, via zogenaamde gas-ultracentrifuges: apparaten met snel ronddraaiende delen waarmee uranium-235 isotopen afgescheiden kunnen worden, voor gebruik in een bom. Iran bouwde een groot complex in Natanz met tienduizenden van zulke centrifuges. Om te voorkomen dat Iran daarmee nucleaire wapens zou kunnen maken, wilde Israël deze installatie bombarderen. In nauw overleg met Amerika werd echter besloten om (eerst) digitaal aan te vallen, met een virus dat in 2010 uitlekte en toen Stuxnet genoemd is. De ontwikkeling en de inzet van dit virus vond ruwweg plaats in de periode 2004 – 2011, in een zeer geheime Amerikaans-Israëlische samenwerking.
Vaak wordt over Stuxnet gesproken als een enkel virus, maar in feite gaat het om verschillende opeenvolgende varianten die op verschillende manieren werkten en op verschillende momenten zijn verspreid en ingezet. De Iraanse computers in Natanz die de centrifuges aanstuurden waren om veiligheidsredenen niet op internet aangesloten. De Stuxnet virussen werden met een besmette USB-stick in het complex geïntroduceerd. Dit gebeurde door een of meerdere personen die mogelijk niet wisten dat hun stick besmet was. Er wordt algemeen aangenomen dat de verschillende Stuxnet aanvallen het Iraanse atoomwapenporgramma enkele jaren vertraagd hebben. De vraag dient zich aan: hoe en waar past Erik van Sabben in deze opeenvolgende stappen?
Bronnen
Hieronder zet ik het verhaal, zover bekend, kort op een rijtje, op basis van verschillende openbare bronnen. Het boek Confront and Conceal van David Sanger uit 2012 beschrijft in hoofdstuk acht vooral de organisatorische en geopolitieke aspecten van de digitale aanval op Iran. Daarnaast richt het boek Countdown to Zero Day van Kim Zetter uit 2014 zich op de ontrafeling van het Stuxnet virus, met ruime aandacht voor de verschillende varianten en hun (technische) werking. Samen met deze Zetter publiceerde Huib Modderkolk in 2019 een online artikel Revealed: How a secret Dutch mole aided the U.S.-Israeli Stuxnet cyberattack on Iran bij Yahoo, waarin betrokkenheid van de Nederlandse AIVD beschreven wordt, via een gerekruteerde Iraanse ingenieur. De naam Van Sabben duikt op in een Volkskrant artikel van Modderkolk van 8 januari 2024. Tenslotte is er de vierdelige TV-documentaire Niemand die het ziet met een hoofdrol voor Modderkolk (uitgezonden in januari 2024 door BNNVara) en het boek Dit wil je écht niet weten van Modderkolk uit 2024. In het boek en in de documentaire speelt het geval Van Sabben een prominente rol.
Een tijdlijn voor de digitale aanval
Sanger gebruikt de naam ‘beacon’ voor een passieve, voorbereidende versie van Stuxnet. Deze eerste variant bracht enkel het netwerk en de aansturing van de centrifuges, met software van het Duitse bedrijf Siemens, in kaart en interfereerde niet actief. Dit beacon werd via onderhoudsmedewerkers van Siemens via USB-stick naar binnen gebracht, waarbij een Amerikaanse bron van Sanger zegt: ‘Siemens had no idea that we were using them‘.
Een volgende versie van Stuxnet probeerde het opwerkingsproces wél actief te verstoren, namelijk door de afvoer van het gas met uranium te manipuleren, om zo de centrifuges door overdruk te laten ontploffen. Deze versie wordt door Zetter in haar boek aangeduid als ‘Stuxnet 0.5’ en was in de jaren 2006 – 2007 actief. In het artikel van Zetter met Modderkolk uit 2019 wordt deze versie besproken: ‘The code was designed to close exit valves on random numbers of centrifuges so that gas would go into them but couldn’t get out’. En: ‘This version of Stuxnet had just one way to spread – via a USB flash drive’. Een door de AIVD gerecruteerde Iraniër, zo wordt beschreven, had toegang tot Natanz en leverde niet alleen informatie over de installaties daar maar zorgde ook voor de verspreiding van het virus: ‘… the mole either directly installed the code himself by inserting a USB into the control systems or he infected the system of an engineer, who then unwittingly delivered Stuxnet when he programmed the control systems using a USB stick’.
In de jaren 2009 – 2010 werd weer een volgende, verbeterde versie van Stuxnet actief. Deze variant interfereerde niet via de gastoevoer, want dat bleek niet zo goed te werken, maar via manipulatie van de (hoge) omloopsnelheid. Hierdoor draaiden de centrifuges zichzelf letterlijk de vernieling in. Wat dit virus extra bijzonder maakte was dat het zichzelf verspreidde door gebruik te maken van maar liefst vier onbekende software kwetsbaarheden (‘zero days’). Het virus hield daarbij een intern logboekje bij waardoor tot op de seconde precies vast te stellen was waar deze versie van Stuxnet het eerst opdook, namelijk bij vijf Iraanse toeleveringsbedrijven, in juni 2009 (Zetter, p. 389). Nadat de computersystemen van die bedrijven met het virus waren geïnfecteerd, brachten hun medewerkers het virus vervolgens onbewust binnen in Natanz, via besmette USB-sticks.
Deze laatste uitgebreide versie van het Stuxnet virus is zichzelf in de zomer van 2010 te enthousiast ook buiten Iran gaan verspreiden en daardoor bekend geworden. Als er publiekelijk gesproken wordt over ‘het Stuxnet virus’, wordt over het algemeen deze versie bedoeld.
Wat deed Erik van Sabben?
Erik van Sabben is op 16 januari 2009 bij een motorongeluk in Dubai om het leven gekomen. Hij heeft dus geen rol kunnen hebben bij de verspreiding van de laatste, doorslaggevende versie van Stuxnet uit 2009/2010 – vanwege zijn overlijden, maar ook omdat dit virus zichzelf zonder menselijke hulp verspreidde. Het is daarmee onduidelijk wat Van Sabben’s rol bij Stuxnet eigenlijk was.
Hij zou waterpompen hebben afgeleverd in Natanz en anderhalf jaar daarna overleden zijn (Modderkolk, p. 215). Modderkolk beschrijft hem echter ook als ‘de Nederlandse agent die de gevaarlijke missie had ondernomen om het eerste digitale wapen in Natanz te krijgen’ (p. 244) en ook als: ‘Dit moet de man zijn naar wie ik jaren had gezocht, de ingenieur die het beroemde sabotagevirus naar Iran bracht’ (p. 244). Over de verschillende versies van het virus wordt hierbij niet gesproken.
In deel 4 van de TV-documentaire wordt de naam Van Sabben bevestigd in een uiterst geheim gesprek van Modderkolk met een AIVD-bron waar geen beelden van getoond worden, enkel de autoreis heen en terug op dinsdag 14 november 2023. Wel worden enkele getypte regels getoond: ‘Bron: ik herken de naam. Dit is de man die Natanz binnenging’. Het is onduidelijk wanneer dat binnengaan plaats vond en wat er daar in Natanz gebeurd is: heeft Van Sabben een pomp afgeleverd, of het Stuxnet virus, of een combinatie? Details ontbreken. In zijn boek schrijft Modderkolk in eindnoot 7 op p. 279: ‘Dat Erik van Sabben werd gerekruteerd door de AIVD om naar het nucleaire complex in Natanz te gaan, is door meerdere bronnen van de AIVD en MIVD met directe kennis van de operatie bevestigd. Ook een buitenlandse bron heeft de identiteit van de AIVD-agent en zijn betrokkenheid bij Stuxnet erkend’. Details over de bezoeken aan Natanz ontbreken ook hier.
Modderkolk suggereert dat de AIVD zelf niet wist of weet wat Van Sabben precies in Natanz mee naar binnen nam, behalve waterpompen, en dat hij ook voor buitenlandse veiligheidsdiensten gewerkt heeft. ‘De AIVD had geen zicht op de ‘context’ waarin de infiltratie plaatsvond, vertelt mijn bron’ (Modderkolk, p. 250). Daarmee is de rol van Nederland kennelijk beperkt geweest, als een van de aanstuurders van Erik van Sabben, zonder kennis van het totale verhaal. In het Volkskrant artikel wordt er echter een hele heisa van gemaakt dat de politieke leiding (in het kabinet) en de politieke toezichthouders (in de commissie Stiekem van de Tweede Kamer) niet geïnformeerd zouden zijn door de AIVD. Maar hoe zou de Nederlandse dienst dat moeten doen als men er zelf niet van afwist? De AIVD deelde volgens Modderkolk een rekruut met collegadiensten, zonder zelf de aard en omvang van al diens activiteiten te kennen. In de reactie op Kamervragen heeft de minister deze zaak klein gehouden en ook het commentaar van de Rotterdamse promovendus Wouter Scherpenisse is kritisch over vermeende nalatigheid van de AIVD.
Bij welke virusvariant was Erik van Sabben betrokken?
Tenslotte moet, gelet op de jaartallen, de enige mogelijke virusvariant die Van Sabben binnengebracht kan hebben ‘Stuxnet 0.5’ zijn geweest. Daarvan heeft Modderkolk zelf (met Zetter) in 2019 echter beschreven hoe die variant door een ander in Natanz geïntroduceerd is, namelijk door een Iraniër die door de AIVD gerekruteerd was. Vijf jaar later, in het Volkskrantartikel van 2024 staat echter dat deze Iraniër en de Nederlander Van Sabben dezelfde persoon blijken te zijn: ‘In 2019 onthullen de Volkskrant en de Amerikaanse nieuwssite Yahoo News dat de Amerikanen en de Israëliërs de AIVD vroegen voor deze risicovolle operatie. De Nederlandse dienst rekruteerde daarop een persoon die ín het complex kwam, een ingenieur van wie nu bekend is dat het de in Dubai woonachtige Erik van Sabben was’. In het Yahoo artikel uit 2019 is de nationaliteit van de rekruut kennelijk onjuist vermeld. Het Volkskrantartikel van 2024 komt hierop terug en noemt dat er mogelijk sprake was van een beperkt beeld of van verwarring.
Wat onbenoemd blijft in het relaas van Modderkolk is dat Erik van Sabben slechts een voorlopertje (‘Stuxnet 0.5’) in Natanz geïntroduceerd kan hebben, en niet de meest effectieve en alom erkende Stuxnet-versie van 2009/2010. Als Van Sabben die vroege variant inderdaad binnengebracht heeft, is dat niet niks, maar het is maar een beperkt deel van het gehele verhaal. De beweerdelijke rol van Erik van Sabben wordt flink opgeblazen, door hem neer te zetten als de man ‘die de cruciale leverantie had gedaan en zo een onzichtbaar virus had gelanceerd in een nuclair complex’ (Modderkolk, tegen de moeder en Nederlandse ex-echtenote van Erik van Sabben, p. 246). Het weinige dat bekend is wordt aldus niet volledig verteld. En uiteindelijk lijkt niet alleen Van Sabben maar ook de AIVD slechts een bijrol gehad te hebben, als dienst die Erik van Sabben óók gerekruteerd had, zonder te weten wat hij voor collegadiensten deed.