Uzmanlar Stuxnet isimli yazılımın yapısının çok karmaşık olmasının bir 'ulus devlet' tarafından yazılmış olmasıyla açıklanabileceğini belirtti.

Söz konusu virüs, elektrik santralleri, barajlar ve sanayi birimleri gibi gerçek altyapı tesislerini hedef alan bugüne kadar bilinen tek yazılım. İlk kez Haziran ayında keşfedilen Stuxnet virüsü o günden bu yana çok yakından incelendi.

Virüsün ilk keşfedildiği günlerden bu yana üzerinde çalışmalar yapan güvenlik şirketi Symantec’ten Liam O’Murchu, BBC News’e yaptığı açıklamalarda, “İran’da dünyanın başka yerlerindekine göre çok daha fazla virüs bulaşma vakasıyla karşılaşmamız, bize bu tehdidin İran’ı hedef aldığını ve İran’ın bu virüsü yazanlar için çok kıymetli bir şey olduğunu düşündürüyor” dedi.

Stuxnet’in hedefinin İran’ın Buşehr’de bulunan nükleer enerji santralini ya da Natanz’da bulunan uranyum zenginleştirme tesisleri olduğu yönünde söylentiler bulunuyor. Ancak O’Murchu ve güvenlik uzmanı Bruce Schneier gibi isimler virüsün hedefinin ne olduğu ya da kim tarafından yazıldığı konusunda kesin sonuçlara varmak için elde yeterli bilgi olmadığı konusunda hemfikir.

Öte yandan Symantec’ten yapılan açıklamada Hindistan ve Endonezya’da da virüs oranlarının İran’dakine yakın olduğu ifade edildi.

2009'DAN BU YANA DOLAŞIMDA

Stuxnet, ilk olarak Belaruslu bir güvenlik firması tarafından Haziran ayında fark edildi. Ancak virüsün 2009 yılından bu yana dolaşımda olabileceği ihtimali üzerinde duruluyor.

Birçok başka virüsün aksine, Stuxnet güvenlik gerekçeleri dolayısıyla normalde internete bağlanmayan sistemleri hedef alıyor ve USB portlarına bağlanan flaş diskler üzerinden yayılıyor. Bir firmanın iç ağına bulaştığı zaman, Siemens’in tasarladığı özel bir sanayi kontrol konfigürasyonuna ulaşmaya çalışıyor. Bu noktadan itibaren virüs “kontrol edilebilir mantık kontrolü” (PLC) denen yazılımı yeniden programlayarak sanayide kullanılan makinelere yeni talimatlar verebiliyor.

O’Murchu, “PLC’ler motorları açıp kapatır, sıcaklığı denetler, hatta ibre belli bir derecenin üzerine çıktığında soğutucuları devreye sokar. Saldırıya uğramamış sistemler böyle işler” dedi.

Eğer sistemde söz konusu Siemens yazılımı yoksa virüsün zararı dokunmuyor. Ancak yazılımın karmaşık yapısı ve hazırlanma sürecinde birden fazla farklı tekniğin kullanılması soru işaretlerine neden oldu. O’Murchu, “Bugüne kadar görmediğimiz birçok yeni, bilinmeyen teknik kullanılıyor” dedi.

BİLİNMEYEN GÜVENLİK AÇIKLARINA SALDIRIYOR

Bu teknikler arasında virüsün kendini PLC’lerde ve flaş disklerde saklaması ve altı farklı yayılma metodu olması da yer alıyor. Dahası Stuxnet, Windows’ta bugüne kadar bilinmeyen ve yamanmamış güvenlik açıklarını bulup saldırabiliyor.

F-Secure güvenlik şirketinin araştırma biriminin başındaki isim Mikko Hypponen, BBC News’e “Yamanmamış bir güvenlik açığını kullanarak bir saldırı düzenlemek çok yaygın bir durum değildir. Stuxnet bu açıkların birini, ikisini değil dördünü birden yakalayıp kullanıyor” dedi. Hypponen, sanal suçluların ve “sıradan korsanların” yamanmamış açıklara büyük değer verdiğini ve hepsini bir arada kullanarak ziyan etmeyeceğini belirtti. Bu arada Microsoft bu açıkların iki tanesini kapattı.

Hypponen’in görüşlerine destek veren O’Murchu, analizinden elde edilen bulguların, yazılımı hazırlayan her kimse “büyük çaba” sarf ettiğine işaret ettiğini söyledi. Sanayi bilgisayarları uzmanı Ralph Langer ise internette yayımlanan bir makalesinde, “Elimizdeki adli tıp bilgileriyle, Stuxnet’in içeriden bilgi sahibi birileri tarafından doğrudan sabotaj saldırısı düzenleme amacıyla hazırlandığını kanıtlayabiliriz” dedi.
24/09/2010