Stuxnet Nedir?
Stuxnet, ABD ve İsrail’in, İran’ın nükleer çalışmalarını sekteye uğratmak için kullandığı solucan yazılımdır. Haziran 2010’da varlığı açığa çıkan virüs İran’ın Buşehr ve Natanz’daki nükleer tesislerini etkilemiştir. Her iki ülke de açıkça sorumluluk kabul etmese de, solucan, ABD ve İsrail tarafından ortaklaşa inşa edilen bir siber silah olarak yaygın bir şekilde anlaşılmaktadır.
Stuxnet özellikle, nükleer malzemeyi ayırmak için gaz santrifüjleri de dahil olmak üzere makineleri ve endüstriyel işlemleri kontrol etmek için kullanılanlar gibi elektromekanik işlemlerin otomasyonuna izin veren programlanabilir lojik kontrolörleri (PLC’ler) hedeflemektedir. Dört sıfır gün açığından yararlanan Stuxnet, Microsoft Windows işletim sistemi ve ağlarını kullanan makineleri hedefleyerek, ardından Siemens Step7 yazılımını arayarak çalışır. Stuxnet’in İran PLC’lerini tehlikeye attığı, endüstriyel sistemler hakkında bilgi topladığı ve hızlı dönen santrifüjlerin kendilerini parçalamasına neden olarak İran’ın nükleer santrifüjlerinin neredeyse beşte birini mahvettiği dönen haberler arasında. Endüstriyel kontrol sistemlerini hedefleyen solucan, 200.000’den fazla bilgisayara bulaştı ve 1.000 makinenin fiziksel olarak bozulmasına neden oldu.
| Ülke | Etkilenen bilgisayarların oranı |
| İran | 58.85% |
| Endonezya | 18.22% |
| Hindistan | 8.31% |
| Azerbaycan | 2.57% |
| ABD | 1.56% |
| Pakistan | 1.28% |
| Diğer | 9.2% |
Stuxnet ilk defa Beyaz Rusya’daki küçük bir firma olan VirusBlokAda tarafından tespit edildi. İlk incelemeler virüsün standart bir solucan olmadığını zaten gösteriyordu fakat karmaşık yapısı yüzünden uzayan incelemeler devam ettikçe işin boyutu gittikçe değişti. Solucanı inceleyen araştırmacılar tarafından ortak olarak dile getirilen ilk gerçek şu ki, stuxnet çok karmaşık bir yapıya sahip. Bu yüzden bu solucanın birçok farklı alandan uzmanların bir araya gelerek üzerinde uzun süre çalıştığı ve kayda değer bir bütçeye sahip bir projenin ürünü olduğu görüşü hâkim. Yine birçok araştırmacı tarafından bu tür bir projenin basit bir suç örgütünden ziyade devlet desteğindeki bir kuruluş tarafından gerçekleştirilmiş olması daha gerçekçi gözükmekte. Özellikle dört tane sıfır gün (zero-days) yani daha önceden bilinmeyen açıklığı beraber kullanması, kendini gizlemek için kullandığı çekirdek sürücülerini rahat yükleyebilmek için güvenilir firmalardan çalınmış kök sertifikalar ile sürücülerini imzalaması ve en önemlisi hedef olarak sanayi ve enerji tesislerindeki fiziksel süreçleri gizlice değiştirmeye çalışması bunu kanıtlar nitelikte.
Stuxnet üç aşamadan oluşur; saldırının main payload işlevi ile ilgili tüm yordamları yürüten bir solucan, solucanın çoğaltılmış kopyalarını otomatik olarak çalıştıran bir bağlantı dosyası ve tüm kötü amaçlı dosyaları ve süreçleri gizlemekten sorumlu bir rootkit bileşeni oluşturarak Stuxnet‘in varlığını tespit edilmesinin engellenmesi.
Stuxnet Nasıl Bulaşır?
Stuxnet genellikle virüs bulaşmış bir USB flash sürücü aracılığıyla hedef ortama bulaştırılır. Solucan daha sonra şebeke üzerinden yayılır ve PLC’yi (programlanabilir lojik kontrolörler) kontrol eden bilgisayarlarda Siemens Step7 yazılımı taranır. Şebeke üzerinden yayılamadığı ve PLC’yi kontrol eden bilgisayarda Step7 yazılımını bulamadığı takdirde, Stuxnet bilgisayar içerisinde kalıcılığını sağlayamaz. Her iki koşul da yerine getirilirse, Stuxnet virüslü kök kullanıcı takımını (rootkit), PLC’ye ve Step7 yazılımına enjekte ederek ve kodları değiştirir ve PLC’ye beklenmedik komutlar vererek kullanıcılara normal sistem değerleri döndürür.
Zero Days (Sıfır Gün Açığı) Nedir?
Araştırmacılar, Stuxnet’in şimdiye kadar hiçbir zararlı yazılımda görülmemiş sayıda çok sıfır gün açığı (4 zero day attack) içerdiğini dile getiriyor. Peki, nedir bu sıfır gün açığı? Tam olarak tanımı, yazılımın geliştiricileri tarafından henüz farkına varılmamış ve yazılımın kullanıma sürüldüğü halindeki açıklardan faydalanan saldırılardır. Yazılımın geliştiricisi tarafından farkedildikleri ve yamanarak düzeltildikleri ana kadar kullanılabilirler. Kapalı kaynaklı yazılımlarda da, özgür yazılımlara oranla fark edilmesi ister istemez daha çok vakit alır ve sistemin güvenliğini tehdit eder. İşte Stuxnet bu şekilde, ortalama bir kötü amaçlı yazılımın bir adet açığı hedeflediği genel kabul görürken, şimdilik bilinen dört açığı kullanıyor ki bu da araştırmacılar tarafından, sistemin karmaşıklığı da ele alındığında devlet destekli bir saldırı olarak yorumlanıyor.
Virüs İran’a Nasıl Ulaştı?
Stuxnet, endüstriyel kontrol sistemlerinin ve dış dünyaya kapalı sistemlerin de hedef olabileceğini göstermesi açısından siber güvenlik konusunda önemli bir yere sahiptir. Virüsün elektrik hatları üzerinden bulaşması da projenin içinde olduğu söylenir. Fakat asıl bulaşma yolu Natanz tesislerinde çalışan bir mühendisin kişisel laptop’una bir cafedeyken ajan tarafından USB bellek ile bulaştırılmıştır. VirusBlokAda’nın yayınladığı raporda, yazılımın, harici belleklerin takılıp içeriğinin görüntülenmesiyle sisteme bulaştığı bildirildi. Bu yöntem, güvenlik gerekçesiyle internet bağlantısı olmayan süreç kontrol ve otomasyon programları kullanan bilgisayarlar için epey uygun. Biraz daha açıklamak gerekirse, toplam boyutu neredeyse 500 KB kadar küçük olan Stuxnet (ancak bu bir virüs için büyük bir dosyadır), harici medyanın dosya görüntüleyici de açılırken, sistemin dosya simgelerini göstermek için kullandığı algoritmayı kullanarak sisteme sızıyor ve kendini Realtek firmasının imzalarıyla sürücü dizinine kopyalıyor. Yazılımın Realtek firmasının elektronik imzalarını nasıl ele geçirdiği konusunda henüz bir bilgi yok. VirusBlokAda’nın uyarılarına da, rapor haberinin kaleme alındığı tarih olan 19 Temmuz itibariyle Realtek tarafından resmi bir açıklama getirilmemişti.
Stuxnet Nasıl Çalışıyor?
Stuxnet bir bilgisayara harici bellekle bulaştıktan sonra kendini sürücü dizinine kopyalıyor ve Siemens’in WinCC ve PCS 7 adını verdiği SCADA (kontrol yönetimi ve veri toplayıcı) programlarını arıyor. Eğer bu programları bulursa kendini Siemens’in öntanımlı parolalarını kullanarak programa entegre ediyor ve kontrol mantığını, kötü amaçlı yazılımın yazarının isteği doğrultusunda değiştirecek ek modülleri programa ekleyerek değiştiriyor. Böylelikle bütün bir tesisin kontrol mekanizmasını etkiliyor.
Windows sisteminde kendini System32 içindeki dosya olan lsass.exe olarak tanıtmış ve Stuxnet bu şekilde dağıtılmıştır.
Windows sisteminde kendini System32 içindeki dosya olan lsass.exe olarak tanıtmış ve Stuxnet bu şekilde dağıtılmıştır.
Stuxnet Virüsü Neden Tehlikeli?
Symantec güvenlik takımının yöneticisi Liam O. MURCHU, “Bu yazılıma harcanan kaynaklar büyüleyici. Gerçekten!” diyerek kötü amaçlı kodun ne kadar karmaşık bir yapıda olduğunu dile getiriyor. Kasperksy’de kıdemli araştırmacı olarak çalışan Roel SCHOUWENBERG ise, “Google da dâhil olmak üzere pek çok şirketin ağını etkileyen Aurora, bunun yanında çocuk oyuncağı kalır.” diyerek, Murchu’ya katılıyor.
Bu tarz saldırıların boyutunu şöyle bir örnekle kafamızda canlandırabiliriz: Stuxnet’in bulaştığı bilgisayarların %60’ı İran’da olduğu için örneğimiz nükleer reaktör olsun. Diyelim ki bir nükleer reaktörün kontrol sisteminden sorumlusunuz. Reaktörün üst sıcaklık değerini 750 dereceye ayarladınız. Termoçiftiniz reaktörün sıcaklığı 750 dereceye yaklaşmaya başladığı anda, kontrol sisteminize haber verir. Bu girdiyi alan sistem, sıcaklığın düşürülmesi için gerekli adımları, içerisinde kodlanmış mantığa uygun olacak şekilde izler. Örneğin soğutma suyunun devrini hızlandırır. İşte bu noktada eğer Stuxnet kontrol adımlarını yeniden tanımlarsa, örneğin reaktör 750 dereceye geldiğinde su akışını hızlandırmak yerine yavaşlatırsa, kazalar kaçınılmaz hale gelir. Yazılım bunun gibi pek çok nedenden dolayı endüstriyel tesisler için tehlike arz ediyor.
Stuxnet Virüsüne Karşı Ne Yapılabilir?
Stuxnet virüsü gibi karmaşık bir virüse maruz kalmamak için kullanıcılar olarak yapabileceğimiz iki şey var. Bunlar güncel işletim sistemi ve iyi bir antivürüs programı kullanmak. Bu tarz virüsler ve diğer küçük virüsler açığa çıktığında işletim sistemleri bunlara karşı yeni yamalar yaparak kullanıcılara sunar böylece artık o virüsün sizin bilgisayarınaza etki etme olasılığı çok az olacaktır. Antivirüsler ise virüsün sistemde neler yaptığı ve neler değiştirdiğini bularak bu adımları yapmaya çaışan programların sistemde çalışmasını engeller.
Not: Bu makale ve daha fazlası için https://ucondort.tech.blog/ takip edebilirsiniz.
Kaynakça:
- https://www.bbc.com/news/technology-18968233
- https://en.wikipedia.org/wiki/Stuxnet
- https://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran.html
- http://www.tuicakademi.org/stuxnet-virusu-iran-a-nasil-etki-etti/
- http://www.burakavci.com.tr/2014/06/stuxnet.html
- https://www.bbc.com/news/world-middle-east-11445126
Yorum için açıklama