Stuxnet Virüsü

Stuxnet virusu bu aralar guvenlik uzmanları tarafından en fazla konuşulan konulardan birisi.Çunku diğer viruslere benzemeyen amacı tamamen siber savaş olan bir bir virus.Diğer virus turlerinin amacı daha fazla bilgisayara yayılıp daha fazla bilgisayara zarar vermek.Ama Stuxnet'i diğer viruslerden ayıran nokta da bu.O daha fazla sisteme yayılmak yerine endustriyel sistemleri gizlice gozetliyor ve yeniden programlayabiliyor.Kısacası tam bir siber savaş askeri.

İran bu Stuxnet virusunden zarar gorduğunu resmi olarak açıkladı.Natanz'daki Uranyum zenginleştirme tesisi kapasitesi %15 dolayında duştu.Bunlar aslında çok ciddi olaylar.Artık sanal alemin reel alem uzerinde ne kadar etkili olduğunun birer kanıtları.Her zaman soylendiği gibi fiziksel savaşların yerine siber savaşlar gelicek.Bunun da ilk temsilcilerinden birisi Stuxnet oldu.

Stuxnet ilk defa haziran ayının ortalarında Beyaz Rusya'daki kuçuk bir firma olan VirusBlokAda tarafından tespit edildi. İlk incelemeler virusun standart bir solucan olmadığını zaten gosteriyordu fakat karmaşık yapısı yuzunden uzayan incelemeler devam ettikçe işin boyutu gittikçe değişti. Özellikle solucanın çok karmaşık yapısı, kullandığı taktikler ve hedefi goz onune alınınca, siber savaş adı altında yıllarca dillendirilen senaryoların aslında çok da gerçek dışı olmadığı ortaya çıktı.

Stuxneti inceleyen ilk uzmanlar zaten incelemeye başladıkları ilk andan itibaren bu virusun çok karmaşık bir yapıda olduğunu ve tek bir kişi tarafından değilde arkasında buyuk devletlerin olduğu bir grup tarafından oluşturulduğu fikri oluştu.Çunku virusun amacı tamamen devletlerin onemli yerlerini etkilemekti.Boyle birşeyi de rakip devletler isteyebilirdi.

Stuxneti onemli yapan bir konuda 4 tane 0-day açığı ile birlikte gelmesi.Bazı virusler yayılmadan once 1-2 tane 0day açığı ile birlikte piyasa surulurdu.Ama Stuxnet bu kuralı bozdu.İlginç olan ise bu açıklardan 2 tanesinin bulunup diğer 2 tanesinin hala bulunamamış olması.Bulunan açıklar aşağıdadır.Bunların yanında geri kalan 2 açık ise Windows sistemler yetki yukseltme açığı.Bana gore de en tehlikeli olanlar.

MS10-046, Microsoft Windows Shell Kısayol İşleme Açıklığı: Asıl olarak işletim sistemindeki bir dizayn hatasından kaynaklanan bu açıklık sayesinde autorun açık olmasa bile bilgisayara takılan bir taşınabilir depolama aygıtındaki dosyaların ikonlarını gostermeye çalışan Windows Gezgini ve benzeri bir programın zararlı bir kodu çalıştırması sağlanabiliyor. Stuxnet'in de asıl olarak bu yontemle birçok yere bulaştırıldığı duşunuluyor. Ayrıca kendini guncelleme yeteneğine sahip olan stuxnet'e bu ozelliğin mart ayında eklendiği ve daha onceden solucanın taşınabilir cihazlardaki autorun ozelliği ile bilgisayara bulaştığı duşunulmekte.

MS10-061, Microsoft Windows Yazdırma Kuyruklayıcısı Açıklığı: Bu açıklığı kullandığı, stuxnet'in daha sonraki detaylı incelemelerinde açığa çıktı. Bu açıklığı kullanarak stuxnet bulaşmış olduğu bir bilgisayardan diğerine atlamayı başarabilmekte. Basitçe bu açıklık bir bilgisayara uzaktan yuksek yetkilerle dosya yuklenilmesine olanak sağlamakta. Daha sonra da bu dosya WBEM'in bir ozelliği ile çalıştırılabilmekte. Önce şunu belirtmek gerekir ki bu açıklık yukarıdaki açıklık gibi bir taşınabilir aygıtın takılmasını gerektirmese de açıklıktan yararlanılabilmesi için gereken birçok şartın beraber bulunmasını gerektiği için kullanılabilmesi daha zor olan bir açıklık.

Peki, bu kadar hazırlık ve çabanın sonucunda yapılmak istenen ne? Stuxnet'in hedefi halihazırda piyasa da bulunan virusler gibi banka veya online oyun hesap bilgilerinin çalınması, DDOS saldırıları gerçekleştirmek veya spam mail atabilmek için zombi bilgisayar ordusu kurmak ve kiralamak değil. Bunların hepsinden farklı olarak; su kaynakları, petrol platformları, enerji santralleri ve diğer sanayi tesislerinin kontrolu için kullanılan SCADA (Siemens supervisory control and data acquisition) sistemlerini ele geçirip fiziksel kontrol sistemlerinin çalışmasını değiştirmek. Stuxnet eğer bulaştığı bilgisayarda bir SCADA sistemi mevcutsa ilk once mevcut projelerin kod ve dizaynlarını çalmaya çalışıyor, onun dışında asıl ilginç olan nokta ise stuxnet'in programlama yazılım ara yuzu vasıtasıyla PLC'lere (Programmable Logic Controllers) kendi kodlarını yuklemesi. Ayrıca yuklenen bu kodlar, stuxnet'in bulaşmış olduğu bir bilgisayardan PLC'lerdeki butun kodlar incelenmek istendiğinde dahi gorulemiyor. Boylelikle stuxnet PLC lere enjekte edilen kodları saklayabilen bilinen ilk rootkit unvanına da sahip oluyor.

Birçok medya raporunda kodlar arasında MYRTUS sozcuğunun geçmesi Stuxnet'in İsrail tarafından oluşturulduğu iddialarına neden oldu. İddiaya gore MYRTUS "Myrtle" yani İbranice'de "Hadassah" olarak geçen mersin ağacına gondermeydi ve Yahudi İran kraliçesi Esther'in doğum adı da Hadassah'tı. Yine kodlar arasında geçen 19790509 sayısının 9 Mayıs 1979 olduğu ve bir başka İranlı Yahudi olan işadamı Habib Elghanian'ın Tahran'da idam edildiği tarih olarak yorumlandı. Öte yandan MYRTUS'un yanlış algılanmış olabileceği, ifadenin sadece "My RTUs" olduğu da iddialar arasında. RTUs "Remote Terminal Units" anlamına gelen SCADA bileşenlerinin kısaltması. İsrail bu konuda açıklama yapmasa da konunun takibi için askeri haberalma birimi kurması siber-savaşın başladığını doğruluyor.

İran'da ise 30bin IP adresinin saldırıdan etkilendiği ve saldırıların Stuxnet'in farklı surumleriyle devam ettiği bildirildi. İran Siemens'in antivirus yazılımının solucanı silmek yerine guncellediğinden kuşkulandığını belirterek kendi temizleme programlarını oluşturacağını açıkladı

Kasım ayı sonunda nukleer programda çalışan iki İranlı bilimadamının bombalı suikaste kurban gitmesi Stuxnet'in arkasında olanların nukleer programı durdurmakla yetinmeyeceği yorumlarını getirdi. BKZ: http://www.sabah.com.tr/Dunya/2011/11/20/iranli-uzmanlari-stuxnet-oldurdu

Peki biz ne yapacağız diye duşunuyorsanız bizim yapacağımız pek birşey yok.Antivurusumuzu guncellemek(!) ve birazcık dikkatli olmak yeter gibi gozukuyor.Zaten Stuxnetin işi gucu yokta bize mi gelecek.O yuzden biraz rahat olabiliriz.Tutunki geldi o zaman buradaki araç ile temizleyebilirsiniz.Ama eğer kurumsal bir ağınız varsa aşağıdaki yazıyı okumanızda fayda var. http://www.eyupcelik.com.tr/ceh/kurumsal-aglarda-stuxnet-virusunu-tespit-etme

Kaynaklar:

http://blogs.technet.com/b/mmpc/archive/2010/07/16/the-stuxnet-sting.aspx

http://blogs.technet.com/b/mmpc/archive/2010/07/23/protection-for-new-malware-families-using-lnk-vulnerability.aspx

http://blogs.technet.com/b/srd/archive/2010/09/14/ms10-061-printer-spooler-vulnerability.aspx

http://blogs.technet.com/b/mmpc/archive/2010/09/16/hold-on-to-your-keys.aspx

http://www.bilgiguvenligi.gov.tr/guvenlik-bildirileri/index.php

http://www.e-data.com.tr/dogrusuyla-yanlisiyla-stuxnet.aspx

comments powered by Disqus