Ali
Ct, 25/05/2019 - 14:46

Stuxnet Nedir?

Stuxnet, Haziran 2010'da tespit edilen ve SCADA sistemlerini hedefleyen, çok gelişmiş bir solucandır. Stuxnet'in ilk tespit edildiği andan itibaren otoriteler tarafından ABD ve İsrail tarafından hazırlandığı ve İran'ın nükleer tesislerini hedeflediği söylendi.

Stuxnet, endüstride makinelerin kontrolünde kullanılan PLC'leri hedeflemekteydi. SCADA sistemleri, bir tesise veya işletmeye ait tüm cihazların kontrolünden üretim planlamasına, çevre kontrol ünitelerinden yardımcı işletmelere kadar tüm birimlerin otomatik kontrolü ve gözlenmesini sağlayan sistemlerdir. PLC'ler ise SCADA sistemlerinde kullanılan bilgisayarlardır yani PLC'ler SCADA sistemlerinin içerisindeki bileşenlerden biridir.

Stuxnet solucanı da işte bu SCADA sistemlerinin bir parçası olan PLC'leri hedef almaktaydı. VirusBlokAda tarafından Haziran 2010'da tespit edilen Stuxnet, Siemens'in PLC'lerinde kullanılan Step7 yazılımını hedef almaktaydı.

Solucan, USB ile sisteme sızıyor ve internete bağlı olmayan yerel ağlardan yayılabiliyor. Solucan, bulaştığı Windows sisteminde ilk olarak Siemens'in WinCC uygulamasının dosyalarına bulaşıyor, ardından solucan kendini PLC sistemine kuruyor. Solucan, PLC sistemine kurulduktan sonra sisteme beklenmedik komutlar yolluyor ve tüm üretim sisteminin etkilenmesine sebep oluyor. Ayrıca, araştırmacılar yarım megabayt boyutundaki Stuxnet'in son derece büyük bir boyuta sahip olduğunu söylemişti.

Symantec, Stuxnet'ten etkilenen bilgisayarların %58'inin İran’da olduğunu tespit ettiklerini söylerken, araştırmacılar bu solucanın direkt olarak İran'ın nükleer programını hedef aldığını söyledi.

Yapılan araştırmalar sonucunda Stuxnet'in İran'ın Natanz uranyum zenginleştirme tesisindeki kapasitesini %15 civarında düşürdüğü tespit edildi zira söz konusu solucan PLC sistemlerine bulaştığında sistemin farklı komutlar çalıştırmasına sebep oluyordu ve bu da nükleer tesislerdeki santrifüjlerin çalışmaz hale gelmesine sebep oluyordu.

Stuxnet'in Arkasındaki Aktörler Kimler?

Birçok siber güvenlik firması, Stuxnet'in kodlarını incelediğinde bu solucanın devlet destekli 5 ila 30 kişilik bir ekiple yaklaşık 6 ayda üretilebileceğini söyledi.

Stuxnet'in ortaya çıktığı yıllardaki haberlerde de birçok otorite bu solucanın devlet desteği alınmadan üretilmesinin pek mümkün olmadığını söyledi.

O dönemde basında yer alan haberlere göre Stuxnet'in kodlarını inceleyen araştırmacılar, kodlar arasında "MYRTUS" kelimesini tespit etti. İddiaya göre "MYRTUS", "Myrtle" yani İbranicede "Hadassah" olarak geçen mersin ağacına göndermeydi ve Yahudi İran kraliçesi Esther'in doğum adı da Hadassah'tı.

Bir diğer iddiaya göre ise kodlar arasında tespit edilen "19790509" sayısının 9 Mayıs 1979 tarihine işaret ettiği ve bu tarihinde İranlı Yahudi iş adamı Habib Elghanian'ın Tahran'da idam edildiği tarih olduğu söylendi. O dönemde çıkan bu iddiaların yanı sıra "MYRTUS" kelimesinin sadece "My RTUs" kelimelerinin birleşimi olduğu da söylendi.

2015 yılında Kaspersky, Equation Group'un Stuxnet'in kullandığı zero day zafiyetlerini Stuxnet kullanmadan önce kullandığını söyledi ve "Her iki istismarın farklı bilgisayar solucanlarında birlikte aynı şekilde kullanılması, Equation Group ve Stuxnet geliştiricilerinin aynı olduğunu veya birlikte çalıştığını gösterir" dedi.

Stuxnet'in ortaya çıkmasının ardından 9 yıl geçmesine rağmen söz konusu solucan gelmiş geçmiş en iyi zararlı yazılımlardan olma özelliğini hâlâ koruyor.

Stuxnet, SCADA sistemlerinin hacklenebileceğini ve bu sistemlerin hacklenmesiyle ortaya çıkan zararın yüksek miktarlara çıkabileceğini gösteren bir zararlı yazılım olarak literatüre geçti. Öyle ki bu solucan, bir ülkenin nükleer enerji sektörünü sekteye uğratmıştı.

Ayrıca Stuxnet, ülkelerin siber silahlanmaya başladığını ve bu silahlanmanın etkili bir şekilde kullanılmaya başlandığını gösteren bir solucan olarak hafızalara kazındı.