Thursday, June 25, 2020

İran'daki Patlama Stuxnet mi?





26 Haziran 2020 gecesi Tahran yakınlarında gerçekleşen patlamaya dair henüz bilgiler kesinleşmedi. Ancak patlamadan önceki hafta hem İsrail Başbakanı hem de A.B.D. Savunma Bakanının İran'da devam eden nükleer faaliyetler konusunda rahatsızlıklarını açıkça dile getirmesi ister istemez bazı soruları sormamızı gerektiriyor. 

Geçmişte Bostan Operasyonu gibi olaylarda fiziksel güç kullanmaktan çekinmeyen bu ülkelerin daha sonra operasyonlarını siberuzaya taşıdığını biliyoruz. 
Bu durumda Tahran yakınlarında bulunan Parchin'de meydana gelen patlamanın arkasında Stuxnet zararlı yazılımının yeni sürümü olabilir mi?  

İran Savunma Bakanlığının yaptığı açıklamada patlamanın doğalgaz kaynaklı olduğunun söylendiğini not olarak eklemiş olalım. Patlamanın gerçekleştiği alanda radyasyon izlerine rastlanıp rastlanmayacağı veya patlamaya şahit olanların "garip bir koku" olduğundan söz etmesi bunu doğrular mı? zaman gösterecek.

Stuxnet Nedir?
Zararlı yazılımlar söz konusu olduğunda Stuxnet’in ayrı bir yeri olduğunun kabul edilmesi gerekir. Keşfedildiği 2010 yılına kadar tespit edilmiş olan zararlı yazılımlardan oldukça farklı özelliklere sahip Stuxnet, hedefli saldırılarda kullanılan zararlı yazılımların sözlük karşılığı gibidir. İran’da bulunan nükleer tesisleri hedef alan Stuxnet solucanının arkasında kim veya kimler olduğu açıkça ortaya çıkmamış olsa bile uzmanların ortak görüşü A.B.D. ve/veya İsrail tarafından geliştirilmiş olabileceği yönündedir. 


Stuxnet, nükleer tesislerde bulunan endüstriyel kontrol sistemlerini (EKS) hedef alıp, uranyum zenginleştirilmesinde kullanılan santrifüjlerin fiziksel olarak hasar görmesine neden olmuş ve tesisin devre dışı kalmasına yol açmıştır. 


Bu yönüyle, genellikle verdiği hasar veri veya sistem hafızası ile sınırlı kalan diğer zararlı yazılımlardan önemli ölçüde ayrılmaktadır. Nükleer tesisleri devre dışı bırakmak için o zamana kadar kullanılan yöntemler, ülkeler açısından daha maliyetli ve riskliydi.

Hatırlayacağınız üzere; 2007 yılında İsrail, Suriye’de bulunan bir nükleer tesisi savaş uçaklarıyla bombalayarak devre dışı bırakmıştı. Bombalar ve uçakların tespit edilmesi halinde çıkması muhtemel savaş düşünüldüğünde aynı sonucu bir yazılımla elde etmek, maliyet ve risk açısından çok daha avantajlıdır. 


İran nükleer tesislerinin yönetiminde kullanılan endüstriyel kontrol sistemleri ve bunların Windows işletim sistemi üzerinde bulunan bileşenleri üzerinde etkili olması için geliştirilen Stuxnet’in çıkış ve geliştirilme aşaması hakkında çok az bilgiye sahibiz. Hedefe özel bir zararlı yazılım geliştirmek için hedefi yakından tanımak gerekiyor. Bu konuda, dönemin İran Cumhurbaşkanı Ahmedinejad’ın hedef alınan nükleer tesislerden birini ziyareti sırasında çekilen fotoğraflarda bilgisayar ekranlarında görünen Windows ve EKS güncelleme bildirimlerinin yardımcı olmuş olabileceği söyleniyor.


Stuxnet üzerinde doğrudan çalışan analistlerden birisi olan Ralph Langner bu konuda “zararlı yazılımı geliştirenler muhtemelen orada çalışan mühendislerin ayakkabı numaralarını bile biliyordu” diyerek bu seviyede bir çalışma yapmak için gerekli bilgi düzeyi konusunu özetlemiştir. 


Stuxnet’in kendisinden sonra gelen pek çok APT zararlı yazılımıyla ortak kodlara sahip olması, bazı ülkelerin bu konuda ciddi ve disiplinli çalışmalar yürütmekte olduğunun bir göstergesi olarak değerlendirilebilir.



Stuxnet’in Yapısı

Stuxnet 3 temel modülden oluşuyor:

  • Stuxnet solucanı: Zararlı yazılımın yayılmak ve Windows sistemleri etkilemek için kullandığı modüldür. Windows işletim sistemleri üzerinde bulunan zafiyetleri istismar ederek bulunduğu ağda farklı sistemlere yayılır. Bu modül aynı ağda bulunan ve Stuxnet’in bulaştığı farklı sistemlerin kendi aralarındaki iletişimini de denetlemektedir.

  • Stuxnet LNK: Stuxnet solucanının devreyStuxnete girmesini sağlayan modüldür.

  • Stuxnet Rootkit: Stuxnet’in fark edilmesini engelleyen ve zararlı olduğu tespit edilebilecek işlev ve dosyaları gizleyen modüldür.



MS10-046 ve MS10-061 gibi Stuxnet’in yayılmak ve Windows sistemlere bulaşmak için kullandığı zafiyetlerin bir bölümü o tarihte “sıfır gün” (0-day) açığı idi. Bu zafiyetlerin varlığının bilinmemesi, dolayısıyla, Windows tarafından yayınlanmış bir güvenlik güncellemesinin olmaması Stuxnet’in yayılmasını kolaylaştırmıştır. Stuxnet üzerinde yapılan analizler sıfır gün açıklarının yanı sıra o tarihlerde bilinen ve kritik olarak nitelenen MS08-067 gibi açıkları da kullandığını göstermektedir. Bu zafiyetlerin her birisi çok özel bir amaçla kullanılarak Stuxnet’in bilinen haliyle etkili olması sağlanmıştır.

  • MS10-046: O dönemde bilinmeyen, daha sonra CVE-2010-2568 numarası verilen Windows kısayol zafiyetinin giderilmesi için yayınlanmış Windows güncellemesinin referans numarasıdır. İlgili sistem üzerinde USB belleklerin otomatik olarak çalışmasını sağlayan “Autorun” özelliği kapalı olsa bile, Stuxnet USB bellekten hedef sisteme geçebilmektedir.

  • MS10-061: O dönemde bilinmeyen, daha sonra CVE-2010-2729 numarasını alan zafiyeti istismar ederek bulaştığı bilgisayarın bağlı olduğu ağ üzerinde yayılır.

  • MS08-067: O dönemde bilinen kritik bir Windows zafiyetidir. Bu zafiyeti kullanarak yerel ağda yayılıp, yeni sistemlere bulaşır.



Yerel ağda incelemesini tamamlayan Stuxnet, hedef aldığı marka ve modelde bir EKS tespit ettiğinde bu sistemi yönetmek için kullanılan Windows sistemde bulunan yönetim yazılımının bileşen dosyalarını arar. Hedeflediği EKS’nin yönetim yazılımının kullandığı DLL dosyalarının birisini değiştiren Stuxnet böylece EKS’ye de komut gönderebilir hale gelmektedir. Bu aşamadan sonra Stuxnet hedeflediği EKS’yi etkileyen bir zafiyeti istismar ederek EKS’nin veri tabanına erişir. EKS’nin tamamen ele geçirilmesinin ardından Stuxnet santrifüjü yöneten motorların hızlarına müdahale ederek fiziksel hasara neden olur.
2011 yılından beri, Stuxnet’le ortak özelliklere sahip bazı zararlı yazılımlar tespit edilmiştir. 

Aynı grup veya gruplar tarafından geliştirildiği düşünülen zararlı yazılımlara örnek olarak aşağıdakiler verilebilir:


  • Duqu: 2011 yılında tespit edilen Duqu zararlı yazılımının kaynak kodunda Stuxnet’ten kopyalanan bileşenler görülmektedir. Stuxnet’ten farklı olarak Duqu, bulaştığı sistemden klavye hareketlerini kayıt altına alır.

  • Flame: 2012 yılında tespit edilmiştir. Stuxnet’e benzer şekilde USB bellekleri kullanarak yayılır. Duqu ve Stuxnet’ten farklı olarak Flame oldukça gelişmiş bir casusluk zararlısıdır.

  • Triton: 2017 yılında tespit edilen Triton, Orta Doğu ülkelerinde petrokimya tesislerinin iş güvenliği sistemlerini hedef almıştır.

No comments:

Post a Comment