stuxnet

bu virüsün bulaşması için bir dosyayı açmanıza, herhangi bir şeye tıklamanıza bile gerek yoktu. virüsü yerleştirmek için usb belleğin takılması yeterliydi. geriye kalan her şeyi kendisi hallediyordu.

güvenlik sebebiyle dış dünya ile internet bağlantısı bulunmayan natanz tesislerine usb yoluyla bulaştırılan virüs, nükleer santrifüjleri aşırı yüklüyor, ancak kontrol ekranlarına her şeyin yolunda olduğu bilgisini veriyordu. başta iranlılar olayların nedeninin kendi üretim hatalarından kaynaklandığını sandı, hatta bazıları işini kaybetti.

virüs, mrxnet.sys ve mrxcls.sys adında iki sürücü(driver) yüklüyordu. bu sürücüler sistem işlemlerine kod enjekte etmek ve virüsün kendisini gizlemek için kullanılıyorlardı. asıl şaşkınlık verense, bu iki sürücü de realtek semiconductor corp. dijital imzası taşıyordu.

dijital imzasız sürücüler algılandığında bilgisayarınız bir uyarı görüntüler veya dijital imzası olmayan aygıt sürücülerinin yüklenmesini önler. bu durumu engellemeleri gerekiyordu. dijital imzalar, çok güvenli koruma sistemleriyle muhafaza edilir. bunlar bir şekilde aşılmış, dijital imzalar tayvan'daki realtek ofisinden çalınmıştı(belki de çalınmamıştı).

böylece sürücüler, kimliğini bir sertifika yetkilisine doğrulatmış bir yayımcı tarafından imzalanmıştı, bu da sürücünün o yayımcıdan geldiğinden ve değiştirilmediğinden emin olmanızı sağlar.

stuxnet, nükleer tesisteki plcleri etkileyerek, iran'ın saniyede yaklaşık 1.000 kez gibi inanılmaz bir hızda dönen nükleer santrifüjlerini saniyede 1.400 dönüşe çıkartıyor, kontrol ekranlarına bütün değerler normal bilgisi gönderiyordu. çok hassas bir dengede tutulması gereken santrifüjler, bu hıza dayanamayıp dengesizleşiyor, kırılıyor, içindeki uranyum gazıysa açığa çıkıyordu.

ancak israilliler verilen hasarı yetersiz buldu ve virüsü çok daha saldırganlaştırarak, verdikleri zararı daha da arttırmak istedi. bu da virüsün güncellenmesini gerektirdi. güncellenen yeni versiyon virüs natanz tesislerine bulaştırıldı ancak, bu yeni versiyon virüs, bir şekilde natanz tesisindeki bazı çalışanların da bilgisayarlarına bulaştı. çalışanlar bilgisayarlarını evlerine götürdü, internete bağlandı.

böylece, virüs dışarıya adım attı, dünyaya yayıldı. virüsün ilk tespiti belarus'da yapıldı.

virüsün ne kadar ustaca ve karmaşık olduğunu belirtmek için, symantec mühendisi(distinguished engineer) eric chien şu yorumu yapmıştı,

• "ortalama bir virüs için kodu inceleyip anlamamız dakikalarımızı alır. stuxnet'i açıp incelemeye başlayalı bir ay geçmiş, içeriğini ve amacını anlamaya yeni yeni başlayabilmiştik. ortalama bir kodun 20 katı uzunluğundaydı ve içinde hiç hata yoktu. bu inanılmaz nadirdir. zararlı yazılımlar neredeyse her zaman hatalı kod içerirler. stuxnet için bu durum geçerli değildi. çok yoğundu, her kod dizisinin bir amacı vardı ve amacını tam da olması gerektiği gibi yapıyordu."

virüsün nokta atışı bir hedefi vardı. virüs sizin bilgisayarınıza bulaşsa bile, normal bir kullanıcı için hiçbir zararı yoktu. tabi eğer evinizdeki bilgisayarınıza bağlı bir santrifüj ve step 7 plc'niz varsa işler değişir. çünkü step7 yazılımının kodlarını değiştirir ve plc'ye normalin dışında komutlar verir. her şeyin yolunda olduğunu düşünmeniz için normal sistem değerleri döndürür.

virüsü incelemeyi tamamladıklarında, neden dört adet 0-day(henüz duyurulmamış, yamalanmamış, korunamayacağınız güvenlik açığı) bulunduran, inanılmaz bir virüsün, bu kadar kesin ve net bir hedef seçtiği konusuna anlam veremiyorlar. bulaşmanın en çok nerede olduğunu ve bu plc modellerinin nerelerde kullanıldığını araştırdıklarında taşlar yerine oturuyor. iran'ın nükleer tesisleri.

---

Posted on Hede.io - Knowledge Sharing Dictionary
Read this entry or all entries about stuxnet.

---