İran nükleer tesislerinde ‘süper virüs’ STUXNET
Nükleer programı nedeniyle İran’ın üzerindeki uluslararası baskıların arttığı bir dönemde, İran nükleer tesislerinde “Süper Virüs” tespit edildi.Dünyanın en büyük antivirüs yazılımı şirketinin uzmanları, virüsün, İran’ın Buşehr’de bulunan nükleer enerji santralini ya da Natanz’daki uranyum zenginleştirme tesisini hedef aldığını düşünüyor.
İlk kez Haziran 2010’da keşfedilen STUXNET adlı virüs, elektrik santralleri, barajlar ve sanayi birimleri gibi altyapı tesislerini hedef alan bugüne kadar geliştirilmiş en tehlikeli yazılım. Konunun uzmanları, STUXNET saldırısını düzenleyenlerin İran’ın içinden yardım almış olabileceğini de dile getiriyor.
STUXNET virüsü, güvenlik amacıyla internetten izole edilen sistemleri hedef alıyor ve flaş diskler üzerinden yayılıyor. Virüs bir firmanın iç ağına bulaştığı zaman, mevcut yazılımı yeniden programlayarak sanayide kullanılan makinelere yeni talimatlar verebiliyor. Bir başka deyişle tesislerdeki soğutma sistemleri gibi kritik bölümler devre dışı bırakılabiliyor.
Bazı uzmanlar da, virüsün karmaşık yapısına dikkat çekerek bunun bir başka “devletin işi” olabileceğini dile getiriyor.
HEDEF İRAN
Virüsün ilk keşfedildiği günlerden bu yana üzerinde çalışmalar yapan güvenlik şirketi Symantec’ten Liam O’Murchu, BBC News’e yaptığı açıklamalarda, “İran’da dünyanın başka yerlerindekine göre çok daha fazla virüs bulaşma vakasıyla karşılaşmamız, bize bu tehdidin İran’ı hedef aldığını ve İran’ın bu virüsü yazanlar için çok kıymetli bir şey olduğunu düşündürüyor” dedi.
Stuxnet’in hedefinin İran’ın Buşehr’de bulunan nükleer enerji santralini ya da Natanz’da bulunanuranyum zenginleştirme tesisleri olduğu yönünde söylentiler bulunuyor. Ancak O’Murchu ve güvenlik uzmanı Bruce Schneier gibi isimler virüsün hedefinin ne olduğu ya da kim tarafından yazıldığı konusunda kesin sonuçlara varmak için elde yeterli bilgi olmadığı konusunda hemfikir.
Öte yandan Symantec’ten yapılan açıklamada Hindistan ve Endonezya’da da virüs oranlarının İran’dakine yakın olduğu ifade edildi.
2009’DAN BU YANA DOLAŞIMDA
Stuxnet, ilk olarak Belaruslu bir güvenlik firması tarafından Haziran ayında fark edildi. Ancak virüsün 2009 yılından bu yana dolaşımda olabileceği ihtimali üzerinde duruluyor.
Birçok başka virüsün aksine, Stuxnet güvenlik gerekçeleri dolayısıyla normalde internete bağlanmayan sistemleri hedef alıyor ve USB portlarına bağlanan flaş diskler üzerinden yayılıyor. Bir firmanın iç ağına bulaştığı zaman, Siemens’in tasarladığı özel bir sanayi kontrol konfigürasyonuna ulaşmaya çalışıyor. Bu noktadan itibaren virüs “kontrol edilebilir mantık kontrolü” (PLC) denen yazılımı yeniden programlayarak sanayide kullanılan makinelere yeni talimatlar verebiliyor.
O’Murchu, “PLC’ler motorları açıp kapatır, sıcaklığı denetler, hatta ibre belli bir derecenin üzerine çıktığında soğutucuları devreye sokar. Saldırıya uğramamış sistemler böyle işler” dedi.
Eğer sistemde söz konusu Siemens yazılımı yoksa virüsün zararı dokunmuyor. Ancak yazılımın karmaşık yapısı ve hazırlanma sürecinde birden fazla farklı tekniğin kullanılması soru işaretlerine neden oldu. O’Murchu, “Bugüne kadar görmediğimiz birçok yeni, bilinmeyen teknik kullanılıyor” dedi.
BİLİNMEYEN GÜVENLİK AÇIKLARINA SALDIRIYOR
Bu teknikler arasında virüsün kendini PLC’lerde ve flaş disklerde saklaması ve altı farklı yayılma metodu olması da yer alıyor. Dahası Stuxnet, Windows’ta bugüne kadar bilinmeyen ve yamanmamış güvenlik açıklarını bulup saldırabiliyor.
F-Secure güvenlik şirketinin araştırma biriminin başındaki isim Mikko Hypponen, BBC News’e “Yamanmamış bir güvenlik açığını kullanarak bir saldırı düzenlemek çok yaygın bir durum değildir. Stuxnet bu açıkların birini, ikisini değil dördünü birden yakalayıp kullanıyor” dedi. Hypponen, sanal suçluların ve “sıradan korsanların” yamanmamış açıklara büyük değer verdiğini ve hepsini bir arada kullanarak ziyan etmeyeceğini belirtti. Bu arada Microsoft bu açıkların iki tanesini kapattı.
Hypponen’in görüşlerine destek veren O’Murchu, analizinden elde edilen bulguların, yazılımı hazırlayan her kimse “büyük çaba” sarf ettiğine işaret ettiğini söyledi. Sanayi bilgisayarları uzmanı Ralph Langer ise internette yayımlanan bir makalesinde, “Elimizdeki adli tıp bilgileriyle, Stuxnet’in içeriden bilgi sahibi birileri tarafından doğrudan sabotaj saldırısı düzenleme amacıyla hazırlandığını kanıtlayabiliriz” dedi.
Virüsün çoğunluğu Almanya’da 15 noktaya saldırdığı, ancak her seferinde başarıyla ortadan kaldırıldığı ve bir tesisin çökmesi gibi bir durumun söz konusu olmadığı iddia edildi.