Stuxnet’in perde arkası: Hedef alınan İranlı şirketler -2

Dün yayınlanan ‘Stuxnet’in perde arkası: Hedef alınan İranlı şirketler -1’ in devamıdır.

Domain C

7 Temmuz 2009’da Stuxnet başka bir hedefi vurdu. Bu saldırı ile de asıl nihai hedefi olan yola çıkmış bulunuyordu. Kurban bilgisayarın adı “applserver” idi (bu, application server olabilir) ve NEDA adlı domain’de bulunuyordu.

 

Bu durumda, kurban organizasyonu tespit etmek kolaydı. Şüphe barındırmayacak şekilde, bu domain adı, Neda Industrial Group’a aitti. Bu organizasyon, ABD Adalet Bakanlığı tarafından yaptırımlar listesine eklenmiş olan ve askeri amaçlarda kullanılabilme potansiyeli olan yasaklı maddelerin İran’a ihracatını yapmakla suçlanan bir şirketti. Bu şirketin tam bilgi dosyası, Iran Watch Site adlı sitede mevcut bulunuyor.

 

Stuxnet’in zincirinin takip edilmesi, bu grubun dallarından biri olan bir kurum hakkında ilginç veriler ortaya çıkarıyordu. Nedaya Micron Electronic Company (Tahran, İran) ve Neda Overseas Electronics LLC (Dubai, Birleşik Arap Emirlikleri) enerji tesisleri, çimento sanayisi, petrol, gaz ve petrokimya sektörleri için endüstriyel otomasyon sistemleri üretmektedir ve 1980’lerin ortalarında NEDA Bilgisayar Ürünleri Şirketi olarak tam bir özel şirket olarak kurulmuştur.

 

Neda, Temmuz 2009’da sadece bir kere saldırıya uğradı. Bulaşma loglarına bakıldığında, Stuxnet’in, bu kurumun sisteminden hiç çıkmadığı ortaya çıkıyor. Fakat zaten bu kurumun sistemlerini terketmemek, solucanın ilk amaçlarından biri de olabilir. Daha önce de söylendiği üzere, STEP 7 projeleri kapsamında bilgi hırsızlığı gerçekleştirmek, Stuxnet’i yazanların amaçlarından biri olabilir.

 

Domain D

Stuxnet dördüncü kurbanına 7 Temmuz 2009 günü yani Neda şirketinin sistemlerine sızlıdığı gün, bulaştı. İlginç bir şekilde Neda’da olduğu gibi virüs sisteme yayılmaya serverdan başlamış ve CGJ domanin’de bulunan SRV 1 adlı bilgisayarı ele geçirmişti.

Peki ama CGJ’nin anlamı neydi? Sosyal ağlarda ve arama motorlarında uzun mesailer harcayarak bulduğumuz kadarıla CGJ, Control-Gostar Jahed adlı başka bir İranlı endüstriyel otomasyon sistemleri üreten bir firmanın kısaltması. Tahran’da bulunan ve toplam 80 personeli bulunan firmanın  ilgi alanlarının başında PLC sistemleri bulunuyor. Bilindiği gibi Stuxnet PLC ile çalışan SCADA sistemlerinde çalışmak üzere programlanmış bir virüstü.

CGJ, Neda gibi yaptırım listesinde olan bir şirket değil. Hedef olarak seçilmesinde etkili olan faktör ise muhtemelen ülkenin metalurji sektöründeki şirketlerinin yanında petrol üretimi yapan şirketleri ile yakın iş ilişkisi içerisinde olması. Bu durum Stuxnet’in sadece nükleer tesislere yönelik değil aynı zamanda İran’ın petrol üretimini de olumsuz etkileme amacında olduğunun bir göstergesi olabilir. Stuxnet, 2009’da bu şirketin kurumsal ağlarına sızdı ve buradan başka bir yere yayılmadı.

 

Domain E

Beşinci ve son ‘sıfır kurban’a yapılan saldırı diğer Stuxnet dalgalarından önemli bir farklılık gösteriyor. 11 Mayıs 2010 günü Stuxnet hedefine ilk kez tek bilgisayardan değil, 3 farklı bilgisayardan saldırı başlatıyor. Saldırılar aynı anda değil her biri farklı zamanlarda gerçekleşiyor. Son kurbanın ortaya çıkartılmasında virüsün bulaştığı sistemlerin sayısı oldukça yardımcı olmuş.

KALASERVER, ANTIVIRUSPC, NAMADSERVER adlı server’ların dışında saldırıdan etkilenen iki server’ın daha bulunduğu tahmin ediliyor. Bu tür bir yayılma bize saldırının gerçekleşmesinde e-posta’nın öncelikli bir yayılma vektörü olmadığı sonucuna götürüyor. Bu olayda bir kullanıcının aldığı e-postayla Stuxnet’in yayılma ihtimali düşük gözüküyor.

Peki o zaman bu saldırının hedefindeki serverlardan biri olan KALA kime ait? Bu sorunun cevabı olarak iki muhtemel yanıt ortaya çıkıyor. Bunlardan hangisinin doğru olduğu konusunda bir fikrimiz yok. İki muhtemel kurbanın ortak özellkleri İran’ın nükleer programıyla ilişkili olması ve yaptırım listesinde bulunmaları.

Birinci seçenek Kala Naft bu şirket ile ilgili detaylı bilgi yine Iran Watch site sitesinde bulunabilir.

Stuxnet’in hedef aldığı ikinci ve bize göre kurban olması daha muhtemel şirket ise Kala Electric (Kalaye Electric Co.). Stuxnet’in ana amacının İran nükleer programına yönelik bir sabotaj olduğu göz önünde bulundurulduğunda Kala’nın sistemlerinde nükleer program hakkında detaylı bilgi bulundurma şansı oldukça yüksek. Ayrıca şirketin sistemine sızılması nükleer tesislere yayılma için adeta bir zıplama tahtası işlevi görebilir. Tüm bunların dışında, Kala İran’ın uranyum zenginleştirme santrifüjü olan IR-1’in ana üreticisi. Web sitesi bulunmayan şirket hakkında internette fazlasıyla bilgi bulunuyor. Bunlardan bir tanesi İsrail merkezli düşünce kuruluşu olan ISIS (Institute for Science and International Security). Orjinal adı Kalaye Electric olan şirket İran Atom Enerjisi Ajansı tarafından satın alınmış. Tüm bu bağlantılara rağmen Kala’nın neden 2009’daki hedefler arasında yer almadığı konusunda henüz bir açıklama bulunmuyor.

kalaye

Kala şirketinin uydu fotoğrafları

 

Özet

Stuxnet keşfedilmesinin ardından yılla geçmesine rağmen hala en ilgi çekici kötücül yazılımların başında bulunmaya devam ediyor. Dijital dünya açısından oluşturduğu etki fiziksel dünyadaki Hiroşima ve Nagazaki saldırılarıyla eşdeğer kabul edilebilir.

Stuxnet’in etkin olması ve İran’ın nükleer programını geliştirdiği sıkı korunan sistemlere bulaştırılması için, geliştiricilerinin karşısındazor bir ikilem bulunuyordu: Internet bağlantısı olmayan sistemlere bu virüs nasıl bulaştırılabilir? Bunun yanıtının en azından bir bölümünün bu yazıda verildiğini düşünüyoruz: Üst düzey şirketlerin (İran nükleer programının sağlayıcılarının) sistemlerinin hedef alınarak tesislere ulaşılması.

Yorum Yaz

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d blogcu bunu beğendi: