De Stuxnet-worm die Iraanse kernreactoren ontregelde is niet door de VS of Israël gemaakt, maar door China. Dat zegt beveiligingsexpert Jeffrey Carr, die daarvoor verschillende aanwijzingen heeft. Eerder werd bekend dat Stuxnet de frequentie converter drives van het Finse Vacon aanvalt, om zo de reactor te ontregelen. Die machines worden niet in Finland, maar in het Chinese Suzhou gemaakt. Een ander verband tussen China en Stuxnet ziet Carr in RealTek, het Taiwanese bedrijf waarvan de digitale certificaten werden gebruikt voor het signeren van de Stuxnet-malware, zodat die zichzelf probleemloos op de aan te vallen systemen kon installeren. Een dochteronderneming van Realtek genaamd Realsil Microelectronics, bevindt zich in China. Suzhou om precies te zijn.

Carr wijst ook naar een incident waarbij twee werknemers van Vacon werden gearresteerd. De arrestatie door de Chinese douane valt samen met de ontwikkeling van de worm.

Maar waarom zou China de kernreactoren van Iran aan willen vallen? Het land heeft zich eerder uitgesproken tegen de wens van Iran om kernwapens te ontwikkelen, maar liet ook weten dat sancties tegen Iran contraproductief zijn. "In andere woorden wil China de twee na grootste leverancier van olie steunen, maar op hetzelfde moment een manier vinden om het Iraanse uraniumverrijkingsprogramma te stoppen", zegt Carr.

Broncode
Een virus dat een mechanische storing veroorzaakt zou de ideale oplossing zijn. En zelfs als de worm zou worden ontdekt, zou China als Irans belangrijkste bondgenoot niet verdacht worden. De meest voor de hand liggende daders zouden de VS en Israël zijn. Carr baseert zijn mening op het feit dat China uitgebreide kennis van de Iraanse centrifuges heeft, aangezien die van Chinese makelij zijn. Daarnaast heeft het toegang tot de fabriek van Vacon en de certificaten van Realtek. Ook beschikt het over de Windows broncode, wat verklaart waarom de makers van de worm vier zero-day lekken wisten te vinden, terwijl de meeste hackers al moeite hebben om er één te ontdekken.

Verder vonden Stuxnet-infecties in China pas erg laat plaats. "Iets wat ik altijd al vreemd vond, aangezien Siemens software veel in Chinese energiecentrales wordt gebruikt", merkt Carr op. Chinese media lieten weten dat de worm een miljoen Chinese systemen zou hebben besmet. Die berichten waren gebaseerd op een melding van het Chinese anti-virusbedrijf Rising International, waarvan onlangs bekend werd dat het zelf malware maakt en overheidsfunctionarissen omkoopt om valse waarschuwingen af te geven. "De Stuxnet-aankondiging van Rising klinkt meer als een Cover Your Ass strategie van de wormontwikkelaar dan iets anders."

Carr haalt ook nog uit naar de Duitser Ralph Langner, die als eerste met het scenario kwam dat Israël of de VS achter de aanval zouden zitten. Er zou hier geen hard bewijs voor zijn. "Wat China betreft heb ik vijf verschillende banden met Stuxnet aangetoond die uniek voor China zijn." De expert wijst ook naar een rapport van het Institute for Science and International Security (ISIS). Daaruit blijkt dat Iran al voor Stuxnet problemen met de centrifuges had. "Natanz is mogelijk het doelwit van een eerdere, of zelfs meerdere, cyberaanvallen geweest, die niets met Stuxnet te maken hadden."