26 Haziran 2020 gecesi Tahran yakınlarında gerçekleşen patlamaya dair henüz bilgiler kesinleşmedi. Ancak patlamadan önceki hafta hem İsrail Başbakanı hem de A.B.D. Savunma Bakanının İran'da devam eden nükleer faaliyetler konusunda rahatsızlıklarını açıkça dile getirmesi ister istemez bazı soruları sormamızı gerektiriyor.
Geçmişte Bostan Operasyonu gibi olaylarda fiziksel güç kullanmaktan çekinmeyen bu ülkelerin daha sonra operasyonlarını siberuzaya taşıdığını biliyoruz.
Bu durumda Tahran yakınlarında bulunan Parchin'de meydana gelen patlamanın arkasında Stuxnet zararlı yazılımının yeni sürümü olabilir mi?
İran Savunma Bakanlığının yaptığı açıklamada patlamanın doğalgaz kaynaklı olduğunun söylendiğini not olarak eklemiş olalım. Patlamanın gerçekleştiği alanda radyasyon izlerine rastlanıp rastlanmayacağı veya patlamaya şahit olanların "garip bir koku" olduğundan söz etmesi bunu doğrular mı? zaman gösterecek.
Stuxnet Nedir?
Zararlı yazılımlar söz konusu olduğunda
Stuxnet’in ayrı bir yeri olduğunun kabul edilmesi gerekir. Keşfedildiği 2010
yılına kadar tespit edilmiş olan zararlı yazılımlardan oldukça farklı
özelliklere sahip Stuxnet, hedefli saldırılarda kullanılan zararlı yazılımların
sözlük karşılığı gibidir. İran’da bulunan nükleer tesisleri hedef alan Stuxnet
solucanının arkasında kim veya kimler olduğu açıkça ortaya çıkmamış olsa bile
uzmanların ortak görüşü A.B.D. ve/veya İsrail tarafından geliştirilmiş
olabileceği yönündedir.
Stuxnet, nükleer tesislerde bulunan
endüstriyel kontrol sistemlerini (EKS) hedef alıp, uranyum
zenginleştirilmesinde kullanılan santrifüjlerin fiziksel olarak hasar görmesine
neden olmuş ve tesisin devre dışı kalmasına yol açmıştır.
Bu yönüyle, genellikle verdiği hasar veri veya
sistem hafızası ile sınırlı kalan diğer zararlı yazılımlardan önemli ölçüde
ayrılmaktadır. Nükleer tesisleri devre dışı bırakmak için o zamana kadar
kullanılan yöntemler, ülkeler açısından daha maliyetli ve riskliydi.
Hatırlayacağınız
üzere; 2007 yılında İsrail, Suriye’de bulunan bir nükleer tesisi savaş
uçaklarıyla bombalayarak devre dışı bırakmıştı. Bombalar ve uçakların tespit
edilmesi halinde çıkması muhtemel savaş düşünüldüğünde aynı sonucu bir
yazılımla elde etmek, maliyet ve risk açısından çok daha avantajlıdır.
İran nükleer tesislerinin yönetiminde
kullanılan endüstriyel kontrol sistemleri ve bunların Windows işletim sistemi
üzerinde bulunan bileşenleri üzerinde etkili olması için geliştirilen
Stuxnet’in çıkış ve geliştirilme aşaması hakkında çok az bilgiye sahibiz.
Hedefe özel bir zararlı yazılım geliştirmek için hedefi yakından tanımak
gerekiyor. Bu konuda, dönemin İran Cumhurbaşkanı Ahmedinejad’ın hedef alınan
nükleer tesislerden birini ziyareti sırasında çekilen fotoğraflarda bilgisayar
ekranlarında görünen Windows ve EKS güncelleme bildirimlerinin yardımcı olmuş
olabileceği söyleniyor.
Stuxnet üzerinde doğrudan çalışan
analistlerden birisi olan Ralph Langner bu konuda “zararlı yazılımı
geliştirenler muhtemelen orada çalışan mühendislerin ayakkabı numaralarını bile
biliyordu” diyerek bu seviyede bir çalışma yapmak için gerekli bilgi düzeyi
konusunu özetlemiştir.
Stuxnet’in kendisinden sonra gelen pek çok APT
zararlı yazılımıyla ortak kodlara sahip olması, bazı ülkelerin bu konuda ciddi
ve disiplinli çalışmalar yürütmekte olduğunun bir göstergesi olarak
değerlendirilebilir.
Stuxnet’in Yapısı
Stuxnet 3 temel modülden oluşuyor:
- Stuxnet solucanı: Zararlı yazılımın yayılmak ve Windows sistemleri etkilemek için kullandığı modüldür. Windows işletim sistemleri üzerinde bulunan zafiyetleri istismar ederek bulunduğu ağda farklı sistemlere yayılır. Bu modül aynı ağda bulunan ve Stuxnet’in bulaştığı farklı sistemlerin kendi aralarındaki iletişimini de denetlemektedir.
- Stuxnet LNK: Stuxnet solucanının devreyStuxnete girmesini sağlayan modüldür.
- Stuxnet Rootkit: Stuxnet’in fark edilmesini engelleyen ve zararlı olduğu tespit edilebilecek işlev ve dosyaları gizleyen modüldür.
MS10-046 ve MS10-061 gibi Stuxnet’in yayılmak
ve Windows sistemlere bulaşmak için kullandığı zafiyetlerin bir bölümü o
tarihte “sıfır gün” (0-day) açığı idi. Bu zafiyetlerin varlığının bilinmemesi,
dolayısıyla, Windows tarafından yayınlanmış bir güvenlik güncellemesinin
olmaması Stuxnet’in yayılmasını kolaylaştırmıştır. Stuxnet üzerinde yapılan
analizler sıfır gün açıklarının yanı sıra o tarihlerde bilinen ve kritik olarak
nitelenen MS08-067 gibi açıkları da kullandığını göstermektedir. Bu
zafiyetlerin her birisi çok özel bir amaçla kullanılarak Stuxnet’in bilinen
haliyle etkili olması sağlanmıştır.
- MS10-046: O dönemde bilinmeyen, daha sonra CVE-2010-2568 numarası verilen Windows kısayol zafiyetinin giderilmesi için yayınlanmış Windows güncellemesinin referans numarasıdır. İlgili sistem üzerinde USB belleklerin otomatik olarak çalışmasını sağlayan “Autorun” özelliği kapalı olsa bile, Stuxnet USB bellekten hedef sisteme geçebilmektedir.
- MS10-061: O dönemde bilinmeyen, daha sonra CVE-2010-2729 numarasını alan zafiyeti istismar ederek bulaştığı bilgisayarın bağlı olduğu ağ üzerinde yayılır.
- MS08-067: O dönemde bilinen kritik bir Windows zafiyetidir. Bu zafiyeti kullanarak yerel ağda yayılıp, yeni sistemlere bulaşır.
Yerel ağda incelemesini tamamlayan Stuxnet,
hedef aldığı marka ve modelde bir EKS tespit ettiğinde bu sistemi yönetmek için
kullanılan Windows sistemde bulunan yönetim yazılımının bileşen dosyalarını arar.
Hedeflediği EKS’nin yönetim yazılımının kullandığı DLL dosyalarının birisini
değiştiren Stuxnet böylece EKS’ye de komut gönderebilir hale gelmektedir. Bu
aşamadan sonra Stuxnet hedeflediği EKS’yi etkileyen bir zafiyeti istismar
ederek EKS’nin veri tabanına erişir. EKS’nin tamamen ele geçirilmesinin
ardından Stuxnet santrifüjü yöneten motorların hızlarına müdahale ederek
fiziksel hasara neden olur.
2011 yılından beri, Stuxnet’le ortak
özelliklere sahip bazı zararlı yazılımlar tespit edilmiştir.
Aynı grup veya
gruplar tarafından geliştirildiği düşünülen zararlı yazılımlara örnek olarak
aşağıdakiler verilebilir:
- Duqu: 2011 yılında tespit edilen Duqu zararlı yazılımının kaynak kodunda Stuxnet’ten kopyalanan bileşenler görülmektedir. Stuxnet’ten farklı olarak Duqu, bulaştığı sistemden klavye hareketlerini kayıt altına alır.
- Flame: 2012 yılında tespit edilmiştir. Stuxnet’e benzer şekilde USB bellekleri kullanarak yayılır. Duqu ve Stuxnet’ten farklı olarak Flame oldukça gelişmiş bir casusluk zararlısıdır.
- Triton: 2017 yılında tespit edilen Triton, Orta Doğu ülkelerinde petrokimya tesislerinin iş güvenliği sistemlerini hedef almıştır.
No comments:
Post a Comment