Temmuz 2010’da keşfedilen ve temel hedefi İran nükleer zenginleştirme programı olduğu tahmin edilen Stuxnet zararlı yazılımı şimdiye kadar en az 22 endüstriyel sisteme bulaşmıştır. Stuxnet, Siemens PCS7, S7 PLC ve WinCC sistemlerine zarar veren ileri düzey bir zararlı yazılımdır. Dört tane o güne kadar hiç görülmemiş açıklığı ve değişik yayılma yöntemlerini kullanan özel bir zararlı yazılımdır. 

Kurumlar ya da kişiler “oh ne güzel biz hedefte değiliz” diye düşünebilirler. Fakat zararlı yazılım, Amerika’daki büyük bir üretim sistemine de bulaşmış ve bu sistemde proje dosyalarını temizlemek için çok yoğun bir iş gücü harcanmıştır. Zararlı yazılım tesisteki PLC sistemini bir ay boyunca etkilemiştir.

2000 yılında meydana gelen atakta Avustralya’nın Moroochy eyaletinde 28 Şubat ile 23 Nisan arasında arıtma tesisinden en az 40 defa pis kanalizasyon suları parklara, nehirlere hatta Hyatt Regency otelinin zeminine bırakılmıştır. Bu kirli sularla Eyaletteki marina yaşamı yok olmuştur. Yaklaşık iki ay süren ve eyalet yaşamına çok büyük zarar veren bu planlı atağın kaynağı çok uzun çalışmalar sonucunda tespit edilebilmiş ve suçlusu yakalanıp cezalandırılmıştır. Benzeri olaylardan literatürde çok sayıda bulunmaktadır. Günümüzde de bu ataklar artarak ve daha planlı şekilde devam etmektedir. Bazı makalelerde bu tür atakların ülkeler tarafından planlı olarak başka ülkelerin sistemlerine yapıldığı bile yazılmaktadır. Fakat görülüyor ki bunlardan yeteri kadar ders çıkarılmadığı için ataklar devam etmektedir. Bu atakların bazıları tespit dahi edilememekte bazıları ise prestij kaybı veya diğer nedenlerden kamu oyuna duyurulmamaktadır.

Burada vermek istenen mesaj Stuxnet; endüstriyel sistemleri hedefleyen önemli, zararlı yazılımdır. Daha önce endüstriyel sistemlere yapılan ataklarda genellikle sistemin ele geçirilmesi, yetkinin kötüye kullanılması gibi ataklar yapılmıştı. Bu atakta ise zararlı yazılım sisteme fiziksel zarar vermiştir. Bu yönüyle bir ilktir. Belki de sizin sisteminiz bu tür bir atağın bir sonraki hedefi olabilir. Hedefte değilseniz bile sisteminizdeki riski azaltmak için ciddi kaynaklar ayırmak durumundasınız. Çünkü hedef siz olmadan da zararlı yazılım sizin sisteminize bulaşabilir.

Stuxnet nasıl yayılıyor?

Birçok endüstriyel sistemin yöneticisi kendi sistemlerinin doğrudan İnternete bağlı olmadığını öne sürerek güvende olduklarını düşünebilirler. Bazıları endüstriyel kontrol sistemler ile İnternet arasında bir hava boşluğunu (air gap) olduğunu bile söyleyebilirler. Stuxnet’in yeteneklerinden bir kısmı bile bu zararlı yazılımın USB bellekten, sabit diskten, zararlı yazılım bulaşmış dizüstü bilgisayardan çıkarak siber savaşın nasıl bir aracı olduğunu göstermektedir.

Stuxnet, insanları, yerel alan ağını veya bulaştığı dosyaları kullanarak PLC (Programmable Logic Control) sistemine ulaşmaktadır. Günümüz iş dünyasında uzak erişim destekleri, dış destek personelleri, uzak bağlantılar, harici disklerle güncelleme yaygın olarak kullanılmaktadır. Bütün bunlar zararlı yazılımın bulaşması için bir yol olabilir. Basit bir PDF dosyası bile zararlı yazılımın sisteminize bulaşmasına sebep olabilir.

Stuxnet’in PLC Cihazları Üzerindeki Etkileri

Stuxnet iki ayrı eklentiye sahiptir. Bunlardan iyi bilinen yüksek frekans sürücülerini kontrol eden santrifüjü hedeflemekte ve Siemens S7-315-2 PLC cihazına atak yapmaktadır.

Diğer atak ise daha az bilinmekte, daha az anlaşılmakta ve daha korkutucudur. Temelinde bu eklenti PLC içinde ortadaki adam (Man in The Middle) ) atağı ile PLC I/O modülünden gelen veriyi yakalayıp değiştirerek yönetim merkezine değişmiş bilgiyi göndererek sistem gereklerinin değil de zararlı yazılımın dediklerinin yapılmasına neden olmaktadır.

Bu eklentinin gerçek hedefinin ne olduğuna dair bir fikir yok. Çünkü Stuxnet yaratıcıları onu son anda devre dışı bırakmışlar. Muhtemelen bir sonraki hedef bir güvenlik sistemi olacak.

Korkunç olan şey bu atak basit SCADA sistemleri içinde bulunan PLC, DCS (Distributed Control System) ve SIS (Safety Instrumented System) sistemleri için yıkıcı olacak. Gelecekteki bu tür ataklar için sistemlerimizde uygun bir yama da bulunmamaktadır.

Güvenlik içeren kritik sistemlerin son noktasına kadar korunması çok önemli. Bunun da ötesinde tümleşik endüstriyel kontrol sistemlerindeki kontrol ve güvenlik fonksiyonları genel güvenlik hatalarına maruz kalabilmektedir.

Bu özel zararlı yazılımla ilgili diğer kötü haber de ağda değil PLC sisteminin içinde olmasıdır. Bir defa PLC, DCS, SIS sistemine bulaştığında antivirüs, STS veya güvenlik duvarı size yardım edemeyecektir. Bu yüzden ön güvenlik önlemleri bu tür zararlı yazılımlardan korunmak için çok önemlidir.

Stuxnet’in Yeni Nesillerinden Nasıl Korunacağız?

Stuxnet’in yeni nesillerinden korunmanın temel yolu, tüm bulaşma yolları konusunda çalışmak ve gerekli önlemleri almaktır. Sadece bu zararlı yazılım için söz konusu olan USB bellek önleminin alınması yeterli değildir. Tüm bilgi transferlerinin teknoloji ve formatına bakmadan güvenli bir şekilde yapılması için strateji geliştirilip dokümante edilmeli ve uygulanmalıdır.

En güçlü risk azaltma tekniklerini kullanılsa bile zararlı yazılımların sisteme bulaşma riski vardır. Bu yüzden endüstriyel kontrol sistemlerine STS gibi önlemler koyarak riski azaltmalıyız. Bu sistemler genel güvenlik çözümlerinin ötesinde SCADA sistemleri protokollerini analiz edebilen oradaki açıklıkları tespit edebilen yetenekli ürünler olmalıdır. Fakat SCADA sistemlerinde çok sayıda farklı protokol ve çözüm var. Bu yüzden önceliğin güvenlik stratejisi oluşturma,  stratejiyi dokümante etme ve uygulamaya konulması riskleri daha da azaltacaktır.

Stuxnet, özel atakların hedefinin kontrol sistemleri olduğunu gösterdi. Bu sistemler enerji, ulaşım sağlık, şehircilik gibi çok kritik sistemlerde kullanılmaktadır. O yüzden bu tür sistemler için gerekli güvenlik önlemleri alınmalıdır.

25 Nisan 2011’de İran askeri servisinde pasif savunma bölümünün başkanı Gholam Reza Jalali web sayfalarında Star kod adını verdikleri casusluk virüsü keşfettiklerini içeren bir rapor yayınlandı. Rapor zararlı yazılımın hedefinin ne olduğunu belirtmiyor. Yapılan çalışmalara göre virüs word, Excel, pdf dosyalarına bulaşıyor  ve sisteme ilk başta az zarar veriyor. Jalali Star virüs için ABD ve İsrail’i suçlayarak hükümet bilgisayarlarından nükleer tesislerle ilgili bilgileri çalmaya çalıştıklarını iddia etti.  Bu açıklamalar yanında bazı uzmanlar Star’ın çok özel hedefli bir zararlı yazılım mı  yoksa sıradan bir virüs mü olduğu konusunda değişik açıklamalar yapmaktadır.

Bütün bunlar ülkemizde de yaygın olarak SCADA sistemlerinde gerekli yönetimsel ve teknik önlemlerin alınması gerektiğini göstermektedir. Kurumların alacağı güvenlik önlemleri yeterli olmayabilir. SCADA sistemleri genellikle enerji üretimi, dağıtımı, arıtma tesisi, şehir su dağıtım sistemleri, trafik sinyalizasyon sistemleri gibi kritik altyapıların yönetiminde kullanılmaktadır. Bu endüstriyel kontrol sistemlerini düzenleyen ve denetleyen kuruluşların; alınması gereken en düşük güvenlik önlemlerini belirleyip, sonra da periyodik olarak denetlemesi gerekmektedir.

Gerekli güvenlik önlemlerinin alınması olayın sadece bir kısmını ifade etmektedir. Diğer önemli ayağı ise bu zararlı yazılımları analiz edilip etkilerini, nasıl önlenebileceğini belirleyen araştırma merkezlerinin olması gerekmektedir. Çünkü bu ataklar hedefli(targeted) ataklar olarak bilinmekte ülkeye, kuruma, gruba veya kişiye yönelik olarak yapılabilmektedir. Hedefli olduğu için bilinen güvenlik çözümleri tarafından tespit edilmeyebilirler. Bu merkezler anormal durumları ve dosyaları inceleyerek zararlı yazılımları analiz etmeli, yayılmasının önlenmesine yönelik çözümler geliştirmelidir.

Kaynak :  www.bilgiguvenligi.gov.tr

Mehmet Kara, TÜBİTAK-UEKAE