Stuxnet Endustriyel Solucanı Bir Yıl Boyunca Yazılmıştır

Endüstri sırlarını çalmak için tasarlanan sofistike bir solucan, kötü niyetli yazılımları araştıran güvenlik uzmanlarına göre, önceden düşünülenden çok daha uzun bir süredir etrafta.

Stuxnet olarak adlandırılan solucan, Temmuz ortasına kadar bilinmiyordu. Minsk, Belarus merkezli bir güvenlik şirketi olan VirusBlockAda ile araştırmacılar tarafından tespit edildi. Solucan sadece teknik olarak karmaşıklığı için değil, aynı zamanda fabrikaları ve enerji santrallerini işletmek için tasarlanmış endüstriyel kontrol sistemi bilgisayarlarını hedef almasıyla da dikkat çekiyor.

Artık Symantec'teki araştırmacılar erken bir versiyonunu belirlediklerini söylüyor. Haziran 2009'da yaratılan solucan ve kötü amaçlı yazılım 2010'un başlarında daha da karmaşık hale getirildi.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Stuxnet'in bu önceki sürümü mevcut enkarnasyonla aynı şekilde hareket eder - Siemens SCADA (denetleyici kontrol ve veri toplama) yönetim sistemlerine bağlanmaya çalışır ve veri çalmaya çalışır - ancak antivirüs algılamasından kurtulmak için yeni solucanın daha dikkat çekici tekniklerinden bazılarını kullanmaz ve kendini Windows sistemlerine yükleyin. Bu özellikler muhtemelen en son solucanın tespit edilmesinden birkaç ay önce eklendi, diyor antivirüs satıcısı Kaspersky Lab ile bir araştırmacı olan Roel Schouwenberg. “Bu şimdiye kadar gördüğümüz en sofistike hedefli saldırıdan hiç şüphemiz yok” dedi.

Stuxnet oluşturulduktan sonra, yazarları USB cihazları arasında yayılmasına izin veren yeni bir yazılım ekledi ve bu da kurbanın hemen hemen hiç müdahalesi olmadı. Ve onlar da bir şekilde çip şirketleri Realtek ve JMicron'a ait şifreleme anahtarları üzerinde ellerine geçmeyi ve kötü amaçlı yazılımları dijital olarak imzalamayı başardılar, böylece antivirüs tarayıcıları onu tespit etmek için daha zor zamanlar geçirdiler.

Realtek ve JMicron'un her ikisi de Hsinchu Bilim'de ofisleri var. Hsinchu, Tayvan ve Schouwenberg'deki park, birinin, iki şirketteki bilgisayarlara fiziksel olarak erişerek anahtarları çalmış olabileceğine inanıyor.

Güvenlik uzmanları, bu hedefe yönelik saldırıların yıllardır sürmekte olduğunu söylüyorlar, ancak yakın zamanda ana akım dikkatini çekmeye başladılar. Google, Aurora olarak bilinen bir saldırı tarafından hedeflendiğini açıkladıktan sonra.

Hem Aurora hem de Stuxnet, Microsoft ürünlerinde gönderilmemiş "sıfır gün" kusurlarından yararlanır. Schouwenberg, Stuxnet'in Google saldırısından daha teknik açıdan daha dikkat çekici olduğunu söyledi. "Aurora'nın sıfır günü vardı, ancak IE6'ya karşı sıfır bir gündü" dedi. "Burada Windows 2000'den beri her Windows sürümüne karşı etkili olan bir güvenlik açığına sahipsiniz."

Pazartesi günü Microsoft, Stuxnet'in sistemden sisteme yayılmasında kullandığı Windows güvenlik açığı için erken bir yama yaydı. Microsoft, Stuxnet saldırı kodunun daha çok virülan saldırılarda kullanılmaya başlamasıyla birlikte yayınladı.

Stuxnet, endüstri sırlarını çalmak için bir sahtekâr tarafından kullanılmış olsa da - örneğin golf kulüplerinin nasıl yapılacağına ilişkin fabrika verileri - Schouwenberg, bir ulus devletin saldırıların ardında olduğundan şüpheleniyor.

Bugüne kadar Siemens, dört müşterisinin solucanla enfekte olduğunu söylüyor. Fakat tüm bu saldırılar, fabrikadaki herhangi bir şeyden çok mühendislik sistemlerini etkiledi.

Solucanın ilk versiyonu Haziran 2009'da yazılmasına rağmen, bu versiyonun gerçek dünyadaki bir saldırıda kullanılmış olup olmadığı belli değil. Schouwenberg, ilk saldırının Temmuz 2009 gibi erken bir tarihte olabileceğini düşünüyor. Symantec'in Ocak 2010'dan bugüne kadar bildiği ilk onaylı saldırı, Symantec'in güvenlik teknolojisi ve müdahalesi başkan yardımcısı Vincent Weafer, “En çok etkilenen sistemler İran'da. Hindistan, Endonezya ve Pakistan'ın da vurulmasına rağmen, ekledi. Weaver, bu kendi içinde oldukça sıra dışı bir durum. "İran'da 20 yıldan beri ilk defa bu kadar yoğun bir şekilde ortaya çıktığını hatırlıyorum."

Robert McMillan, IDG News Service için bilgisayar güvenliği ve genel haber kırma haberlerini kapsamaktadır. @bobmcmillan'da Robert'ı takip edin. Robert'in e-posta adresi [email protected].