defacerGLD
Profesör
- Katılım
- 16 Ocak 2020
- Mesajlar
- 3,329
- Reaksiyon puanı
- 3,067
- Puanları
- 113
Stuxnet, ABD ve İsrail'in, İran'ın nükleer çalışmalarını sekteye uğratmak için kullandığı solucan yazılımdır. Haziran 2010'da varlığı açığa çıkan virüs İran'ın Buşehr ve Natanz'daki nükleer tesislerini etkilemiştir.
Stuxnet, endüstriyel kontrol sistemlerinin ve dış dünyaya kapalı sistemlerin de hedef olabileceğini göstermesi açısından siber güvenlik konusunda önemli bir yere sahiptir. Virüsün elektrik hatları üzerinden bulaşması da projenin içinde olduğu söylenir. Fakat asıl bulaşma yolu Natanz tesislerinde çalışan bir mühendisin kişisel laptop'una bir cafedeyken ajan tarafından USB bellek ile bulaştırılmıştır.
İran'da hedef reaktörler aktif olmadığı için nükleer bir facia yaşanmamıştır. Eğer reaktörler aktif olsaydı Çernobil benzeri bir felaket olabilirdi.
Microsoft firmasına ait işletim sistemlerini etkileyen Stuxnet, İran'ın nükleer enerji tesisleri hedefliyor ve bu özelliği onun endüstriyel casusluk için geliştirildiği şüphelerini güçlendiriyor.
17 Haziran’da, Belarus menşeli bir antivirüs firması olan VirusBlokAda, şimdilerde Stuxnet olarak bilinen zararlı yazılımın, Windows sistemlerin henüz fark edilmemiş açıklarından yararlanarak bilgisayarlara sızdığını açıklamıştı. Yaklaşık bir ay kadar sonra Microsoft, yazılımın, endüstriyel otomasyon ve kontrol programlarını çalıştıran sistemleri hedef aldığını doğruladı.
Stuxnet, endüstriyel kontrol sistemlerinin ve dış dünyaya kapalı sistemlerin de hedef olabileceğini göstermesi açısından siber güvenlik konusunda önemli bir yere sahiptir. Virüsün elektrik hatları üzerinden bulaşması da projenin içinde olduğu söylenir. Fakat asıl bulaşma yolu Natanz tesislerinde çalışan bir mühendisin kişisel laptop'una bir cafedeyken ajan tarafından USB bellek ile bulaştırılmıştır.
İran'da hedef reaktörler aktif olmadığı için nükleer bir facia yaşanmamıştır. Eğer reaktörler aktif olsaydı Çernobil benzeri bir felaket olabilirdi.
Microsoft firmasına ait işletim sistemlerini etkileyen Stuxnet, İran'ın nükleer enerji tesisleri hedefliyor ve bu özelliği onun endüstriyel casusluk için geliştirildiği şüphelerini güçlendiriyor.
17 Haziran’da, Belarus menşeli bir antivirüs firması olan VirusBlokAda, şimdilerde Stuxnet olarak bilinen zararlı yazılımın, Windows sistemlerin henüz fark edilmemiş açıklarından yararlanarak bilgisayarlara sızdığını açıklamıştı. Yaklaşık bir ay kadar sonra Microsoft, yazılımın, endüstriyel otomasyon ve kontrol programlarını çalıştıran sistemleri hedef aldığını doğruladı.
VirusBlokAda’nın yayınladığı raporda, yazılımın, harici belleklerin takılıp içeriğinin görüntülenmesiyle sisteme bulaştığı bildirildi. Bu yöntem, güvenlik gerekçesiyle İnternet bağlantısı olmayan süreç kontrol ve otomasyon programları kullanan bilgisayarlar için epey uygun. Biraz daha açıklamak gerekirse, toplam boyutu neredeyse 500 KB kadar küçük olan Stuxnet, harici medyanın dosya görüntüleyici de açılırken, sistemin dosya simgelerini göstermek için kullandığı algoritmayı kullanarak sisteme sızıyor ve kendini Realtek firmasının imzalarıyla sürücü dizinine kopyalıyor. Yazılımın Realtek firmasının elektronik imzalarını nasıl ele geçirdiği konusunda henüz bir bilgi yok. VirusBlokAda’nın uyarılarına da, rapor haberinin kaleme alındığı tarih olan 19 Temmuz itibariyle Realtek tarafından resmi bir açıklama getirilmemişti.
Symantec güvenlik takımının yöneticisi Liam O. MURCHU, "Bu yazılıma harcanan kaynaklar büyüleyici. Gerçekten!" diyerek kötü amaçlı kodun ne kadar karmaşık bir yapıda olduğunu dile getiriyor. Kasperksy’de kıdemli araştırmacı olarak çalışan Roel SCHOUWENBERG ise, "Google da dâhil olmak üzere pek çok şirketin ağını etkileyen Aurora, bunun yanında çocuk oyuncağı kalır." diyerek, Murchu’ya katılıyor.
Stuxnet Virüsü Nasıl Çalışıyor?
Stuxnet bir bilgisayara harici bellekle bulaştıktan sonra kendini sürücü dizinine kopyalıyor ve Siemens’in WinCC ve PCS 7 adını verdiği SCADA (kontrol yönetimi ve veri toplayıcı) programlarını arıyor. Eğer bu programları bulursa kendini Siemens’in öntanımlı parolalarını kullanarak programa entegre ediyor ve kontrol mantığını, kötü amaçlı yazılımın yazarının isteği doğrultusunda değiştirecek ek modülleri programa ekleyerek değiştiriyor. Böylelikle bütün bir tesisin kontrol mekanizmasını etkiliyor.
Windows sisteminde kendini System32 içindeki dosya olan lsass.exe olarak tanıtmış ve Stuxnet bu şekilde dağıtılmıştır.
Bu tarz saldırıların boyutunu şöyle bir örnekle kafamızda canlandırabiliriz: Stuxnet’in bulaştığı bilgisayarların %60’ı İran’da olduğu için örneğimiz nükleer reaktör olsun. Diyelim ki bir nükleer reaktörün kontrol sisteminden sorumlusunuz. Reaktörün üst sıcaklık değerini 1000 dereceye ayarladınız. Termoçiftiniz reaktörün sıcaklığı 1000 dereceye yaklaşmaya başladığı anda, kontrol sisteminize haber verir. Bu girdiyi alan sistem, sıcaklığın düşürülmesi için gerekli adımları, içerisinde kodlanmış mantığa uygun olacak şekilde izler. Örneğin soğutma suyunun devrini hızlandırır. İşte bu noktada eğer Stuxnet kontrol adımlarını yeniden tanımlarsa, örneğin reaktör 1000 dereceye geldiğinde su akışını hızlandırmak yerine yavaşlatırsa, kazalar kaçınılmaz hale gelir. Yazılım bunun gibi pek çok nedenden dolayı endüstriyel tesisler için tehlike arz ediyor.
Kodları: Typed and labeled several data obfuscation functions. · Laurelai/decompile-dump@2e11313
Bu virüs C diliyle yazılmıştır
güncel bir virüs değil
