Stuxnet, ilk kez Temmuz 2010′da Belarus’da bir güvenlik firması olan VirusBlokAda tarafından keşfedilen, Windows’a özel bir bilgisayar solucanı. Stuxnet adı yazılımın kodları arasındaki anahtar sözcüklerden bulundu. Endüstriyel sistemler daha önce de hedef alınmış olsa da ilk kez bir solucan endüstriyel sistemleri gizlice gözetliyor ve yeniden programlayabiliyor. Bunun yanında PLC rootkit konusunda da bir ilk. Özellikle endüstriyel işlemleri izlemede ve kontrol etmede kullanılan SCADA sistemlerine saldıracak şekilde yazılmış olan Stuxnet PLC’leri yeniden programlayabiliyor ve değişiklikleri gizleyebiliyor.

Symantec’in etkilenen bilgisayarların %60′nın İran’da olduğunu duyurması solucanın olası hedefinin İran’da bulunan ve Siemens’in kontrol sistemlerini kullanan yüksek öneme sahip tesisler olduğu teorilerine yol açtı. Siemens solucanın herhangi bir zarara yol açmadığını belirtse de İran nükleer programının gerçekten Stuxnet tarafından zarar gördüğünü açıkladı. Farklı raporlara göre Natanz’daki Uranyum zenginleştirme tesisi kapasitesi %15 dolayında düştü. Kaspersky Labs Stuxnet’i “yeni bir silahlanma yarışına öncülük edecek, çalışan ve korkunç bir siber-silahın prototipi” olarak tanımladı.

Stuxnet’in sıradışı özellikleri

Karmaşıklığı sebebiyle oldukça sıradışı bir zararlı yazılım olan Stuxnet, 3 farklı sisteme saldırıda bulunabiliyor: Windows, Windows’ta çalışan bir endüstriyel yazılım uygulaması olan WinCC/PCS 7 ve Siemens PLC sistemi. Yarım megabyte’lık büyüklüğüyle görülmedik ölçüde büyük bir boyuta sahip. C/C++ dahil olmak üzere farklı programlama dilleriyle yazılmış olmasıyla da diğerlerinden farklı.

Yazılımın Windows bileşeni görece daha hızlı ve rasgele yayılıyor. Windows altında hem kullanıcı hem de kernel seviyesinde rootkit becerisi bulunuyor. Sahip olduğu sürücüler Jmicron ve Realtek’ten çalınan iki sertifika anahtarı ile dijital olarak imzalanmış. İmzalanmış olması kernel seviyesi sürücülerin sorunsuz kurulmasını sağlarken uzun süre fark edilmemesine yardımcı oldu. Çalınan anahtarlar VeriSign’ın sertifikaları iptal etmesiyle ortaya çıktı.

Stuxnet Windows’a sızmak için sıfır-gün saldırılarını kullanıyor. Geliştiricinin güvenlik açığının farkına varacağı ve yama oluşturacağı ilk günden önce yani sıfırıncı günde yapılan saldırı anlamında ifade edilen sıfır-gün saldırıları hacker’lar için oldukça değerlidir. Ancak Stuxnet 4 farklı güvenlik açığını aynı solucanda kullanıyor. USB bellekler gibi harici sürücüler üzerinden yayılabildiği gibi, sisteme sızdıktan sonra internete bağlı olmayan ancak aynı dahili ağda bulunan bilgisayarlara da bulaşabiliyor.

Windows’a sızdıktan sonra Siemens’in WinCC uygulamasının dosyalarına bulaşıyor. Bilgisayar ile iletişimi keserek kendini PLC sistemine kuruyor. WinCC’nin PLC sistemindeki bozulmuş bellek bloğunu okumaya çalışması durumunda iletişimi maskeleyerek varlığını gizliyor.

Siemens S7-300

Stuxnet’in kodları henüz tam olarak çözülemese de tespit edilenler arasında bir parmak izi teknolojisini bulunuyor. Bunun anlamı, Stuxnet bulaştığı sistemi tam olarak tanıyor. Stuxnet, Siemens S7-300 sistemine bağlı değişken frekanslı sürücüleri etkiliyor ve değişken frekanslı olan sadece iki PLC sistemine saldırıyor. Bu PLC sistemlerinden biri Finlandiya merkezli Vacon ve İran merkezli Fararo Paya. Stuxnet PLC sistemini yeniden programlayabiliyor ve yazılımı saklamak için rootkit kullanıyor. Bu tür sistemler açısından böyle bir durumla ilk kez karşılaşılıyor.

Stuxnet’i engelleme çalışmaları sırasında yazılımı kontrol eden, güncelleyen ve yazılımdan gelen bilgilerle endüstriyel casusluk yaptığı düşünülen iki web sitesi tespit edildi ve çökertildi. Siemens, Stuxnet için tespit etme ve kaldırma aracı yayınladı, Windows yamalarının eksiksiz yapılmasını önerdi ve dışarıdan getirilen USB belleklerin kullanılmasını yasakladı.

Stuxnet’in kaynağı

Böyle bir saldırı için endüstriyel işlemler hakkında geniş kapsamlı bilgiye sahip olunması gerektiği, saldırının iyi bir maddi destekle ve 5 ile 10 kişiden oluşan bir takımla 6 ay veya daha uzun bir sürede hazırlanabileceği Siemens ve Symantec’in fikir birliğine vardığı bir konu.

Birçok medya raporunda kodlar arasında MYRTUS sözcüğünün geçmesi Stuxnet’in İsrail tarafından oluşturulduğu iddialarına neden oldu. İddiaya göre MYRTUS “Myrtle” yani İbranice’de “Hadassah” olarak geçen mersin ağacına göndermeydi ve Yahudi İran kraliçesi Esther’in doğum adı da Hadassah’tı. Yine kodlar arasında geçen 19790509 sayısının 9 Mayıs 1979 olduğu ve bir başka İranlı Yahudi olan işadamı Habib Elghanian’ın Tahran’da idam edildiği tarih olarak yorumlandı. Öte yandan MYRTUS’un yanlış algılanmış olabileceği, ifadenin sadece “My RTUs” olduğu da iddialar arasında. RTUs “Remote Terminal Units” anlamına gelen SCADA bileşenlerinin kısaltması.

İsrail bu konuda açıklama yapmasa da konunun takibi için askeri haberalma birimi kurması siber-savaşın başladığını doğruluyor. İran’da ise 30bin IP adresinin saldırıdan etkilendiği ve saldırıların Stuxnet’in farklı sürümleriyle devam ettiği bildirildi. İran Siemens’in antivirüs yazılımının solucanı silmek yerine güncellediğinden kuşkulandığını belirterek kendi temizleme programlarını oluşturacağını açıkladı.

Kasım ayı sonunda nükleer programda çalışan iki İranlı bilimadamının bombalı suikaste kurban gitmesi Stuxnet’in arkasında olanların nükleer programı durdurmakla yetinmeyeceği yorumlarını getirdi.

Gölgede kalanlar

Güvenlik endüstrisinin 2010′da en çok konuştuğu konu Stuxnet oldu. Bu ilginin bir bölümü haklı olarak saldırının gelişmişlik düzeyi ile ilgiliyken daha büyük bir bölümü siber-savaş teorileri, İsrail ve İran’la bağlantısı olduğu iddiaları ve Stuxnet’in dış politikaya etkileri üzerineydi. Ancak medyanın bu ilgisi asıl konuyu gölgede bıraktı.

Geliştirilmesi için harcanan zaman, para ve iş gücü açısından Stuxnet kuşkusuz ki oldukça gelişmiş bir zararlı yazılım. Öte yandan birçok kullanıcı bu darbeden belirgin bir şekilde etkilenmedi. Dünya çapında birçok sistemi etkilese de diğer zararlı yazılımlar gibi bilgi çalmadı, sahte antivirüs ürünlerine aracılık etmedi veya spam iletiler göndermedi.

Stuxnet’in tesislere yönelik zararlı yazılım tehditi konusunda yeni bir çağ başlattığını söylemek de doğru olmaz. 2003 yılında Slammer solucanı ABD’nin Ohio eyaletinde bir nükleer santral bilgisayarına sızdı ve izleme sisteminin çökmesine neden oldu. DOWNAD/Conficker solucanı hastane bilgisayarları ve hatta MRI sistemleri yanında karakolları ve çeşitli askeri tesisleri etkiledi.

Stuxnet için söylenebilecek bir şey varsa o da ilk kez bir SCADA platformunun hedef almaya değer bulunması. Gerçekleştirecek teknoloji mevcuttu ancak buna yönlendirecek bir motivasyon yoktu.

Günümüzdeki tehditlerin kapsamı düşünüldüğünde bu türden bir zararlı yazılım saldırısı oldukça nadir görülüyor. Bilgi hırsızlığı hala en büyük sorun. Trend Micro’nun tespit ettiği zararlı yazılımlar arasında veri hırsızlığı için kullanılanlar çoğunluğu oluşturuyor. Bugün, bulaşan her Stuxnet’e karşılık, ZeuS ve SpyEye gibi binlerce kimlik hırsızı yazılım görüyoruz.

Stuxnet’ten iki ders çıkarılabilir. Bu olay Stuxnet’in hedef aldığı sistemlere benzer endüstriyel kontrol sistemleri için bir uyarı olmalı. Stuxnet iyi korunmayan sistemleri hedef aldı. Bu sistemler dahili ağda yer aldığı için harici ağın korunması yeterli görülmüş olabilir. Ancak bir ağ en zayıf halkası kadar sağlamdır. Bu nedenle endüstriyel kontrol sistemlerinin parçası olan bilgisayarlar ve ağlar her düzeyde güçlendirilmelidir. Adobe Flash oynatıcı ve Adobe Reader gibi 3. parti yazılımların, eğer sistemden kaldırılamıyorsa, her zaman güncel tutulması gerekir. Hatta USB bellek gibi taşınabilir cihazlardan gelebilecek saldırılar da göz önünde bulundurularak önlem alınmalıdır. Fakat bu çalışmaların çabuk, kolay ve masrafsız olması pek mümkün görünmüyor.

Kritik sistemlerin sorumluluğunu üstlenmeyen kullanıcılar için ise Stuxnet tehlikesi farklı değerlendirilmelidir. Kimlik hırsızlığı yazılımları çok daha büyük bir tehdittir. Kritik sistemleri hedefleyen tehditlerin yukarıda anlatılanlar gibi olduğu anımsayın. Sıradan bir kullanıcı büyük olasılıkla kimlik hırsızlığı ve sahte antivirüs yazılımlarıyla karşılaşacaktır.

Stuxnet medyanın dikkatini bir hayli çekerken, kritik sistemlerin güçlendirilmesi konusunda sistem yöneticilerine ve zararlı yazılım bulaşmayacağı düşünülen sistemlere bir uyarı niteliği taşıyor. Her gün birçoğu kullanıcı bilgilerini çalmaya yönelik onbinlerce yeni tehdit söz konusu. Stuxnet, bu tehditleri de içeren daha büyük bir zararlı yazılım tehditi kapsamında değerlendirilmesi gereken bir sorun.

"Doğrusuyla yanlışıyla Stuxnet" ile ilgili kullanıcı mesajları

  1. Hackerlar buldukları açıkları öyle tek bir virus programında harcamazlarmış.
    Stuxnet’te ise bu kural ilk defa yıkılmış ve 4 farklı güvenlik açığını kullanabilme yeteğine sahip olmuştur.

    Zaten bu farklı yapısıyla bile arkasında bir ulus devletin olduğu konuşulmuştu. Bir değil belki iki devlet (ABD ve İsrail) bunun arkasında olabilir.

    Açıkçası stratejik öneme haiz yerlerde kesinlikle internet bağlantısı olmamalı, aynı şekilde harici donanımların girişine izin verilmemeli.
    Almanya’daki nükleer santrallerde uygulanan en etkili yöntem budur ki çok basit bir çözümdür.

    Aynı şekilde açık kaynak kodlu yazılımlara hızla geçiş yapılmalı.
    Yoksa İran Microsoft’un yayınladığı yeni yamalarla bir yerini kapatırken, başka bir yeri açılır haberi olmaz ki uzun bir süredir de olmadığını hep birlikte görüyoruz. :)

    • kimimben

      Benzer virüsün PLC ye fabrikadan çıkmadan önce bulaştırılabileceğide ihtimaller arasında Hatırlanırsa bir ara HP nin usb bellekleri virüs yüklü olarak dağıtılmıştı :)
      Zaman ayarlı bir virüs yazıp sabote edilen sistemi arızalanmış gibi göstermekte mümkün :)

      Bu tür virüsleri muhtemelen gerçekleştirecek teknoloji uzun süredir var ve gerçekler.Bundan seneler önce siber saldırların sebep olacağı yıkımı göstermek için Amerikada bir deney yapılmış deneyde elektrik üretim santrallerindeki bir jeneratör dışarıdan müdahele ile arızalandırılmıştı bunun videosunu yayınlamışlardı.

      Yazılım açık kodlu olsada o kodu inceleyecek kişininde güvenlik işlerini iyi bilmesi gerekiyor yoksa hiç birşey değişmez.

    • EmrE

      +1
      İran’ ın ABD düşmanlığı yapıp hala onun ürününü kulllanması rezalet bişey.

  2. e-fsane

    Açık kaynak bunun için önemli.
    Büyük değerleri emanet ettiğimiz işletim sisteminin mühendislik boyutunda da ince ince denetlenebilir olması lazım.
    Evdeki bilgisayarımın açık kaynak olmasını önemsemiyorum.
    Ama böyle yerlerde olmasını önemsiyorum.

  3. ziyaretçi

    İran değilmiydi devlet eliyle korsan yazılım FTP sunucusu kuran ve bunun kullanılmasını sağlayan? http://www.google.com.tr/search?q=iran+warez+server

Mesaj gönder »