Stuxnet virüsü bu aralar güvenlik uzmanları tarafından en fazla konuşulan konulardan birisi.Çünkü diğer virüslere benzemeyen amacı tamamen siber savaş olan bir bir virüs.Diğer virüs türlerinin amacı daha fazla bilgisayara yayılıp daha fazla bilgisayara zarar vermek.Ama Stuxnet'i diğer virüslerden ayıran nokta da bu.O daha fazla sisteme yayılmak yerine endüstriyel sistemleri gizlice gözetliyor ve yeniden programlayabiliyor.Kısacası tam bir siber savaş askeri.
İran bu Stuxnet virüsünden zarar gördüğünü resmi olarak açıkladı.Natanz’daki Uranyum zenginleştirme tesisi kapasitesi %15 dolayında düştü.Bunlar aslında çok ciddi olaylar.Artık sanal alemin reel alem üzerinde ne kadar etkili olduğunun birer kanıtları.Her zaman söylendiği gibi fiziksel savaşların yerine siber savaşlar gelicek.Bunun da ilk temsilcilerinden birisi Stuxnet oldu.
[M]http://vimeo.com/25118844[/M]
Stuxnet ilk defa haziran ayının ortalarında Beyaz Rusya'daki küçük bir firma olan VirusBlokAda tarafından tespit edildi. İlk incelemeler virüsün standart bir solucan olmadığını zaten gösteriyordu fakat karmaşık yapısı yüzünden uzayan incelemeler devam ettikçe işin boyutu gittikçe değişti. Özellikle solucanın çok karmaşık yapısı, kullandığı taktikler ve hedefi göz önüne alınınca, siber savaş adı altında yıllarca dillendirilen senaryoların aslında çok da gerçek dışı olmadığı ortaya çıktı.
Stuxneti inceleyen ilk uzmanlar zaten incelemeye başladıkları ilk andan itibaren bu virüsün çok karmaşık bir yapıda olduğunu ve tek bir kişi tarafından değilde arkasında büyük devletlerin olduğu bir grup tarafından oluşturulduğu fikri oluştu.Çünkü virüsün amacı tamamen devletlerin önemli yerlerini etkilemekti.Böyle birşeyi de rakip devletler isteyebilirdi.
Stuxneti önemli yapan bir konuda 4 tane 0-day açığı ile birlikte gelmesi.Bazı virüsler yayılmadan önce 1-2 tane 0day açığı ile birlikte piyasa sürülürdü.Ama Stuxnet bu kuralı bozdu.İlginç olan ise bu açıklardan 2 tanesinin bulunup diğer 2 tanesinin hala bulunamamış olması.Bulunan açıklar aşağıdadır.Bunların yanında geri kalan 2 açık ise Windows sistemler yetki yükseltme açığı.Bana göre de en tehlikeli olanlar.
MS10-046, Microsoft Windows Shell Kısayol İşleme Açıklığı: Asıl olarak işletim sistemindeki bir dizayn hatasından kaynaklanan bu açıklık sayesinde autorun açık olmasa bile bilgisayara takılan bir taşınabilir depolama aygıtındaki dosyaların ikonlarını göstermeye çalışan Windows Gezgini ve benzeri bir programın zararlı bir kodu çalıştırması sağlanabiliyor. Stuxnet’in de asıl olarak bu yöntemle birçok yere bulaştırıldığı düşünülüyor. Ayrıca kendini güncelleme yeteneğine sahip olan stuxnet’e bu özelliğin mart ayında eklendiği ve daha önceden solucanın taşınabilir cihazlardaki autorun özelliği ile bilgisayara bulaştığı düşünülmekte.
MS10-061, Microsoft Windows Yazdırma Kuyruklayıcısı Açıklığı: Bu açıklığı kullandığı, stuxnet’in daha sonraki detaylı incelemelerinde açığa çıktı. Bu açıklığı kullanarak stuxnet bulaşmış olduğu bir bilgisayardan diğerine atlamayı başarabilmekte. Basitçe bu açıklık bir bilgisayara uzaktan yüksek yetkilerle dosya yüklenilmesine olanak sağlamakta. Daha sonra da bu dosya WBEM’in bir özelliği ile çalıştırılabilmekte. Önce şunu belirtmek gerekir ki bu açıklık yukarıdaki açıklık gibi bir taşınabilir aygıtın takılmasını gerektirmese de açıklıktan yararlanılabilmesi için gereken birçok şartın beraber bulunmasını gerektiği için kullanılabilmesi daha zor olan bir açıklık.
Peki, bu kadar hazırlık ve çabanın sonucunda yapılmak istenen ne? Stuxnet'in hedefi halihazırda piyasa da bulunan virüsler gibi banka veya online oyun hesap bilgilerinin çalınması, DDOS saldırıları gerçekleştirmek veya spam mail atabilmek için zombi bilgisayar ordusu kurmak ve kiralamak değil. Bunların hepsinden farklı olarak; su kaynakları, petrol platformları, enerji santralleri ve diğer sanayi tesislerinin kontrolü için kullanılan SCADA (Siemens supervisory control and data acquisition) sistemlerini ele geçirip fiziksel kontrol sistemlerinin çalışmasını değiştirmek. Stuxnet eğer bulaştığı bilgisayarda bir SCADA sistemi mevcutsa ilk önce mevcut projelerin kod ve dizaynlarını çalmaya çalışıyor, onun dışında asıl ilginç olan nokta ise stuxnet’in programlama yazılım ara yüzü vasıtasıyla PLC'lere (Programmable Logic Controllers) kendi kodlarını yüklemesi. Ayrıca yüklenen bu kodlar, stuxnet’in bulaşmış olduğu bir bilgisayardan PLC'lerdeki bütün kodlar incelenmek istendiğinde dahi görülemiyor. Böylelikle stuxnet PLC lere enjekte edilen kodları saklayabilen bilinen ilk rootkit unvanına da sahip oluyor.
Birçok medya raporunda kodlar arasında MYRTUS sözcüğünün geçmesi Stuxnet’in İsrail tarafından oluşturulduğu iddialarına neden oldu. İddiaya göre MYRTUS “Myrtle” yani İbranice’de “Hadassah” olarak geçen mersin ağacına göndermeydi ve Yahudi İran kraliçesi Esther’in doğum adı da Hadassah’tı. Yine kodlar arasında geçen 19790509 sayısının 9 Mayıs 1979 olduğu ve bir başka İranlı Yahudi olan işadamı Habib Elghanian’ın Tahran’da idam edildiği tarih olarak yorumlandı. Öte yandan MYRTUS’un yanlış algılanmış olabileceği, ifadenin sadece “My RTUs” olduğu da iddialar arasında. RTUs “Remote Terminal Units” anlamına gelen SCADA bileşenlerinin kısaltması. İsrail bu konuda açıklama yapmasa da konunun takibi için askeri haberalma birimi kurması siber-savaşın başladığını doğruluyor.
İran’da ise 30bin IP adresinin saldırıdan etkilendiği ve saldırıların Stuxnet’in farklı sürümleriyle devam ettiği bildirildi. İran Siemens’in antivirüs yazılımının solucanı silmek yerine güncellediğinden kuşkulandığını belirterek kendi temizleme programlarını oluşturacağını açıkladı
Kasım ayı sonunda nükleer programda çalışan iki İranlı bilimadamının bombalı suikaste kurban gitmesi Stuxnet’in arkasında olanların nükleer programı durdurmakla yetinmeyeceği yorumlarını getirdi. BKZ: http://www.sabah.com.tr/Dunya/2011/11/20/iranli-uzmanlari-stuxnet-oldurdu
Peki biz ne yapacağız diye düşünüyorsanız bizim yapacağımız pek birşey yok.Antivürüsümüzü güncellemek(!) ve birazcık dikkatli olmak yeter gibi gözüküyor.Zaten Stuxnetin işi gücü yokta bize mi gelecek.O yüzden biraz rahat olabiliriz.Tutunki geldi o zaman BURADAKİ araç ile temizleyebilirsiniz.Ama eğer kurumsal bir ağınız varsa aşağıdaki yazıyı okumanızda fayda var.
http://www.eyupcelik.com.tr/ceh/kurumsal-aglarda-stuxnet-virusunu-tespit-etme
Kaynaklar:
http://www.halitalptekin.com/stuxnet-virusu.html
http://blogs.technet.com/b/mmpc/archive/2010/07/16/the-stuxnet-sting.aspx
http://blogs.technet.com/b/mmpc/archive/2010/07/23/protection-for-new-malware-families-using-lnk-vulnerability.aspx
http://blogs.technet.com/b/srd/archive/2010/09/14/ms10-061-printer-spooler-vulnerability.aspx
http://blogs.technet.com/b/mmpc/archive/2010/09/16/hold-on-to-your-keys.aspx
http://www.bilgiguvenligi.gov.tr/guvenlik-bildirileri/index.php
http://www.e-data.com.tr/dogrusuyla-yanlisiyla-stuxnet.aspx
Stuxnet Virüsü |
1 Mesajlar | 1.662 Okunma | ||
- Üyelik 05.08.2011
- Yaş/Cinsiyet - / E
- Meslek Security Consultant
- Konum
- Ad Soyad ** **
- Mesajlar 223
- Beğeniler 0 / 35
- Ticaret 18, (%100)
Konuyu toplam 1 kişi okuyor. (0 kullanıcı ve 1 misafir)