Mermilerin varlığına inanmayanınız yoktur. Mermiler, ufak tefek bir şey olsa da reddedemeyeceğimiz kadar tahribat verebiliyorlar. İnsanların yaralanmasına, hatta ölmesine sebep olabilirler. Şimdi bu mermilerin hüküm sürdüğü dünyadan çok daha farklı bir yer olan siber dünyaya gidiyoruz, gücü elinde tuttuğunu sananların mermilerini bile getiremedikleri bir yere…

Evet bu yazımda siber alemde ne kural ne de kral bırakan STUXnet isimli solucanı ele alıcam. Konuya sağ ayakla giriyorum dümdüz.

STUXnet, İran’ın uranyum zenginleştirme tesislerini hedef alan bir siber silah. STUXnet hakkında konuşmaya başlarken aslında STUXnet’e giden siyasi zemine de kısaca değinelim.

İran’ın nükleer çalışmalarının başlangıcı İran Şahı ve bir Amerikan müttefiki olan Şah Rıza Pehlevi, nam-ı diğer Şehinşah dönemine dayanır. 1950’li yıllarda Amerika’nın desteklemesiyle beraber, Natanz Nükleer Tesisleri’nde İran’ın uranyum zenginleştirme faaliyetleri “Barış için Atom” sloganıyla başladı. Devamında dönemin Amerikan Başkanı Richard Nixon tarafından da desteklenen bir fikir ortaya atıldı: İran ve Pakistan nükleer program kapsamında İran topraklarında ortak nükleer tesis kurmalıydı. Bununla birlikte Şah arkasındaki Amerikan desteğini bilmesine rağmen Ortadoğuya hükmettiğini zannediyordu. Aynı zamanda Şah, dünyadaki güçlü aktörlerin elinde bulundurduğu nükleer silahların da farkında olarak nükleer silah yapımı konusunda gizli adımlar atmaya başlamıştı.

Yıl 1979’a geldiğindeyse İran devrimi gerçekleşti. Şah indirildi, yerine Ruhullah Humeyni geldi. İran’ın nükleer programında ise bir değişikliğe gidilmedi. Fakat artık Amerika karşıtı politikalar sergileyen İran yönetimi nükleer çalışmalarını eskisi kadar rahat sürdürememeye başladı. Bunun ilk adımı olarak 80’li yıllarda Amerika İran’ın nükleer çalışmalarına karşı olduğunu ilan edip dünya genelindeki nükleer malzeme satıcılarını da İran’a malzeme satmamaları konusunda sıkıştırmaya başladı. Bu durum Pakistan ve İran arasındaki nükleer projeler konusunda ortaklığı arttırdı.
Gelelim Pakistan’daki nükleer çalışmalara. Nükleer çalışmaların başında Abdülkadir Han isimli efsane bir fizikçi yer almakta. Kendisi eğitiminden sonra Hollanda’da santrifüj üretimleri konusunda bir ar-ge firmasında çalışırken ebedi düşmanları Hindistan’ın atom bombası yapacak duruma gelmesi üzerine 1974 yılında ülkesi Pakistan’a döner ve nükleer konusunda devam eden çalışmaların başına geçer. Pakistan’da yaklaşık 20 sene sonra atom bombası üretimini sağlamakla birlikte İran gibi bölgedeki diğer ülkelere de bu konuda yardımlarda bulunmuştur.

Yine 80’li yılların ortalarında patlak veren İran-Irak savaşı ve bununla birlikte Amerika’nın sert müdahalesi, İran’ın nükleer silah yapımındaki kararlılığını arttırmıştır. 2000’li yılların başında ise İran’ı yıldırma politikaları işe yaramış ve İran nükleer konusundaki tüm kısıtlamaları kabul etmiştir. Ancak 2006 yılında Amerika’nın Afganistan ve Irak’taki bir türlü sonuca ulaşamayan işgaliyle İran’ın gözündeki korku perdesi kalkmıştır. Artık tekrardan düşük seviyelerde uranyum zenginleştirme işlemlerine ve daha çok santrifüjle bunları kullanmaya başlamışlardır. Natanz’daki yer altı tesislerinde tekrardan üretimlere başlayan İran’a yapılan teklif Batılı ülkeler ile müzakere masasına oturup uygun görülürse 20 tane santrifüj ile üretime devam edebilecekleriydi. İran devlet başkanı Ahmedinejad ise gövde gösterisi yaparak 7000 tane santrifüjün sadece yer altındaki Natanz tesisinde çalıştığını ve kimsenin dayatmasına yenilmeyeceklerini söyledi.

İran, Natanz’daki tesis için kağıt üzerinde her türlü saldırıya karşı önlem almıştı. Gelişmiş hava savunma sistemleri ve askeri mevzileriyle fiziksel, dışarıdan izole edilmiş ağları ile de siber olarak bir saldırı olması pek mümkün görünmüyordu.
Bununla birlikte nükleer tesise giren ve çıkan her ürün IAEA (Uluslararası Atom Enerjisi Ajansı) tarafından kontrol ediliyordu. Özellikle de üretim sırasında nükleer silah yapımında kullanılabilecek kadar zenginleştirilmiş uranyum yerine daha düşük seviyede zenginleştirilmiş uranyum çıkmalıdır. Natanz’daki uranyum incelendiğinde sadece nükleer silahlara sahip ülkelerde görülebilecek kadar özel bir izotopla karşılaşıldı. Tesise gelen hammaddelerin tamamı inceleniyor olsa da bu bulguyla İran ve Pakistanlı Abdülkadir Han arasındaki ilişki açığa çıktı. İran bu hammaddeleri karaborsadan aldığını iddia etse de daha sonradan onlar da Abdülkadir Han’dan aldıkları iddiasını kabul ettiler.

İran’ın klasik olan “bir öyle bir böyle” siyasetinden uzaklaşalım ve STUXnet nasıl kodlandı artık o aşamaya geçelim.

STUXnet ismini kodlarda geçen STUB ve Xnet kelimelerinden almaktadır. Bu zararlı üzerine analiz yapan araştırmacıların da beyanı üzere STUXnet mükemmel kodlanmıştı. Herhangi bir gereksiz veya hatalı kod parçacığı bile barındırmıyordu. Yine tahmin edilebileceği üzere donanım seviyesine yaklaşabilmek adına C ile kodlanmıştı.
Kodları analiz ettikçe çıkan bulgulardan biri de bünyesinde bulundurduğu çok fazla exploit ile birlikte 4 adet zero-day bulundurmasıydı. Kısaca bu exploitlere ve sömürdüğü zafiyetlere değinerek devam edelim.

CVE-2010-2568 zaafiyeti ile birlikte STUXnet bulunduğu bilgisayara takılan USB’ler üzerinde 4 adet .lnk dosyası oluşturuyordu. Bu dosyalar bir USB bu bilgisayara bağlandığında windows explorer tarafından inceleniyor. Bu kısayol dosyalarının ikonu olmaması burada zaafiyeti doğuran etken oluyor. Windows explorer bu ikonu işaret eden dosyaları okumaya çalıştığında otomatik olarak STUXnet’in bilgisayara bulaşmasını sağlıyordu. 4 tane olmasının sebebi de farklı Windows sürümlerinde çalışması için gerekliydi. Bununla beraber bu zararlıyı içeren USB eğer 3 bilgisayarı bu şekilde enfekte ettiyse kendisini USB’den siliyordu.

MS10-061 zaafiyeti ile STUXnet kendisini ağdaki uzak makinelere %system% dizininde bulunan iki dosyaya yazarak uzak makinelerde direkt olarak yetki yükseltebiliyordu. Devamında da bu yetkili kullanıcıyla o makinelere bulaşabiliyordu.

MS08-067 zaafiyeti ağdaki bir bilgisayarda bulunuyorsa SMB protokolünü sömürerek uzaktan kod çalıştırabiliyordu. MS10-046 zaafiyeti ile bilgisayarınıza taktığınız USB sürücüde gayet zararsız gibi görünen birkaç dosya var. Bunlardan birisi bir kısayol. Ama kısayolun ikonu yok. Windows explorer ikonu okumak için işaret edilen dosyaları okumaya çalışınca Windows’un açığını kullanarak STUXnet’i sisteme bulaştırıyor. Bundan sonra da bu dosyalar rootkit teknikleriyle gizleniyor.

Diğer bir zafiyet ise aslında Windows’un kendi bünyesinde bir hizmet olarak sunulan autorun.inf dosyasıydı. Kısaca bahsetmek gerekirse bilgisayara bir USB bağlandığında otomatik olarak başlatılacak işlemler autorun.inf dosyasına yazılır. STUXnet, autorun.inf dosyasına başka bir dosya çalıştırtmak yerine autorun.inf dosyasına kendi zararlısını ekliyordu. Yani autorun.inf çalışırken kendisi de dikkat çekmeden sisteme enfekte oluyordu.

Sisteme bulaşan STUXnet MRxNet.exe ismiyle Windows klasörüne kopyalanıyordu. Burada kendisini gizlemek yerine çok daha iyisini yapıp bunu bir donanımın sürücüsü olarak gösteriyordu. E bunun inandırıcı olabilmesi için de Windows için bu sürücülerin imzalanması gerekliydi. Realtek ve JMicron’un sertifikaları çalınarak MRxNet.exe imzalanmıştı. Tabii sonradan bu sertifikaların çalındığı fark edilince imzalar iptal edildi.

Aynı zamanda STUXnet bulaştığı bilgisayarda bazı özellikler arıyordu. Kodlarında birebir bu cihazlara yönelik identity numaraları bulunduğu için bu cihazların da ne olduğunu biliyoruz. Bulaştığı sistemde Siemens S7-300 PLC modeline ait bir iz bulduysa iki tane farklı frekans değiştirme sistemini tarıyordu. Bunlardan birisi İran üretimi Fararo Paya diğeri ise Finlandiya üretimi olan Vacon. Eğer bu şartlar da sağlandıysa rootkit olarak makinede kendini gizleyerek makineyi hakimiyeti altına alıyor.

Aynı zamanda Siemens marka PLC’lerin yönetim arayüzü yazılımı olan WinCC‘yi çalıştıran bilgisayarları da tarıyordu. Bunun sebebi ise STUXnet işini görürken bu ekranlarda herhangi bir alarm çalışmamasını da sağlamaktı. Bunun için de yine WinCC üzerinde bulunan bir parola zaafiyetini kullanarak veritabanına kendisini kopyalayabiliyordu.

STUXnet gibi bir zararlı kodlayabilmek için gerçekten çok fazla bilgiye sahip olmanız gerekli. Amerika’nın bu işi yapması için mantıken santrale girebilen, bir şekilde vatanına ihanet edebilecek bir ajan bulması gerekiyordu. Fakat buna gerek kalmadı bile. Çünkü devlet başkanı Ahmedinejad santral içerisinden görüntüler paylaşarak dünyaya gövde gösterisi yaptığını sanarken aslında Amerika’ya ihtiyacı olan her şeyi sağlamıştı.

 

Bu iki resim gibi Natanz nükleer tesislerine ait onlarca resim daha bizzat İran devleti tarafından paylaşılmıştı. Bu resimlerden özellikle ikinci resimdeki iki monitör dikkat çekiyor. Tesisteki santrifüjlerin durumunu gösteren bu SCADA ekranından 6 grup ve her grupta 164 tane olan santrifüjlerin dağılımı net bir şekilde görülebiliyordu. İşin garibi STUXnet içerisinde de tam bu sayılar geçiyordu.
Ayrıca bu resimde Ahmedinejad’ın arkasında duran bir mühendis de resim paylaşıldıktan birkaç ay sonra bir suikast ile öldürüldü.

Tabii ki de Amerika bu işte tek başına değildi. İsrail’in 8200 isimli istihbarat birimiyle işi ortak yürütüyordu. İsrail’in STUXnet’e karıştığı kodlar içerisinde verilen subliminal mesajlardan anlaşılıyordu. Kodlar arasında MYRTUS sözcüğünün geçmesi bunun en büyük kanıtıydı. İddiaya göre MYRTUS “Myrtle” yani İbranice’de “Hadassah” olarak geçen mersin ağacına göndermeydi ve Yahudi İran kraliçesi Esther’in doğum adı da Hadassah’tı.
Yine kodlar arasında geçen 19790509 sayısının 9 Mayıs 1979 olduğu ve bir başka İranlı Yahudi iş adamı olan Habib Elghanian‘ın Tahran’da idam edildiği tarih olarak yorumlandı. Tabii MYRTUS’un yanlış algılanmış olabileceği, ifadenin sadece “Remote Terminal Units” anlamına gelen
“My RTUs” şeklinde de yorumlanabileceği söyleniyor.

STUXnet’in komuta kontrol (C&C) sunucusu olarak kullandığı iki adres vardı. Dikkat çekmemek için futbol ile alakalı süsü verilen bu iki sunucuya HTTP istekleri gönderiyordu.
www.mypremierfutbol.com
www.todaysfutbol.com

STUXnet enfekte olduğu her makinenin bilgilerini bu sunuculara göndermekle birlikte kendisi üzerinde bir güncelleme yapılacaksa da bu sunucular aracılığıyla kendini yenilemekteydi. Ayrıca bulaştığı makinede kendisinden eski bir STUXnet versiyonu varsa eski olan kendisini imha ederek güncellenmiş versiyonu yaymaya devam ediyordu.

Ayrıca işin garip yanlarından biridir STUXnet’in enfekte olduğu ilk 5 bilgisayar Natanz’daki tesise teknik ve lojistik hizmet veren 5 şirkete aittir.

Tamam da gardaşım bu STUXnet size ne yaptı?

Dedik ya hep Siemens PLC falan, işte bu Siemens PLC’ler uranyum zenginleştirmede kullanılan santrifüjleri kontrol ediyor. Santrifüjün nasıl çalıştığına hakim değilim fakat basitçe bir santrifüje uranyum gazı veriliyor ve diğer uçtan zenginleştirilmiş uranyum çıkıyor. Uranyum santrifüjün içindeki karbon fiber yapılı rotor denen ince çubuğun dönüşü sayesinde ayrıştırılıyor.

Şimdi bu STUXnet dünya genelinde milyonlarca bilgisayara bulaştı fakat bu santral tamamen izole bir ağ ve fiziksel olarak da 7/24 korunuyor. Bu santrale nasıl girdi? Yine iki rivayet var; birincisi Siemens teknikeri kılığında bir Amerikan ajanının santralde USB taktığı bir bilgisayar ile bulaştırması veya ikinci rivayetteki gibi santralde çalışan bir mühendisin evdeki kişisel bilgisayarına da bulaşmış olan STUXnet’i farkında olmadan santrale bulaştırmış olmasıdır. Her iki ihtimalde de STUXnet santrale girdi ve içerideki tüm makinelere enfekte oldu.

STUXnet bulaşacağı tüm PLC’lere ulaştığında 13 günlük bir kuluçka sürecine girer. Bu 13 günlük süre PLC’lerin kontrol ettiği santrifüjlerin uranyumla dolması için gereken vakittir. Ayrıca bu 13 günlük süreçte normal işleyen üretim sürecini kayıt altına alır.

13 günün sonunda STUXnet çalışmaya başlar. Santrifüj içerisinde bulunan rotorun dönme frekansı yaklaşık olarak 1000 Hertz’tir. STUXnet bu frekansı önce bir süreliğine 1400 Hertz seviyesine çıkarır daha sonrasında santrifüjlerin yalpalanarak parçalanması için bu frekansı birden 2 Hertz seviyesine düşürür, yani neredeyse durdurur. Bu sırada WinCC ekranlarında 13 gündür loglanan veriler gösterilir. Yani her şey normal olarak gösterilir ve mühendisler mevzuya uyanamaz. Santrifüjler patlayıp parçalandığında bile ekranda hala her şey normal olarak gözükmektedir.

İyi kurgulanmış, iyi kodlanmış, iyi gizlenmiş, iyi bekletilmiş, iyi olgunlaştırılmış bir APT saldırısı olarak STUXnet oyunun kurallarını tamamiyle değiştirdi.

Bir musibet bin nasihatten iyidir düsturuyla İran devlet bünyesinde “Iranian Cyber Army” olarak, üzerinde düşünülmüş bu isimle bir siber ordu kurdu. Bu siber ordu ilk iş STUXnet’e misilleme olarak Amerikan ve Suud ortaklığıyla kurulan dünyanın en büyük petrol şirketi Saudi Aramco şirketine saldırdı. Şirket sunucularındaki tüm yazılımları ele geçirip sildiler. Şirkete ait 30.000 bilgisayarda bulunan tüm dosyaları yanan Amerikan bayrağı resmiyle değiştirdiler.
Bu büyük saldırıyla yetinmeyen İran, Amerikan bankalarına yapılmış en büyük saldırıyı da gerçekleştirdi. Uzun bir süre bankalara erişimi kesen İran kendi güç gösterisini de yapmış oldu.

Karşılıklı saldırıların ardından İran’ın dayanacak gücü kalmadı. 2015 yılında santrifüj sayısını 3’te bir oranında azaltarak tüm dayatmaları kabul etti.

Devamında Edward Snowden’ın sızdırdığı belgelerde yer alan Nitro Zeus projesi Amerika’nın sadece İran değil tüm ülkelerin devlet ağlarına, haberleşme ve ulaşım ağlarına, savunma sistemlerine sızmaya çalıştığını biliyoruz. Ne kadar başarılı olurlar veya ne kadar başarılı oldular bunu bilmiyoruz. Türkiye’de gerçekleşen elektrik kesintilerinden de duyduğumuz altyapılara yönelik bir çok siber saldırı olayını birkaç Türkiye düşmanı hacker grup üstleniyor ve olaylar örtbas ediliyor. Ee devletler üstlenecek değil ya…

Konuyla ilgili aralıklarla 5 defa falan izlemiş olduğum Zero Days isimli belgeseli izlemenizi şiddetle tavsiye ediyorum. Ayrıca ilgilenenler için STUXnet’in detaylı malware analizi şuracıktadır.

Yazıyı okuduğunuz için teşekkürler.
Yazıyla alakalı bi şeyler demek isterseniz http://bilalkan.com/contact adresinden ulaşabilirsiniz.

https://www.linkedin.com/feed/update/urn:li:activity:6494601115802312704

 

Kaynaklar:
https://www.imdb.com/title/tt5446858/
https://www2.cs.arizona.edu/~collberg/Teaching/466-566/2012/Resources/presentations/topic9-final/report.pdf

 

Tags: