5 Aralık 2016

Zero Days (2016) Belgeseli: Stuxnet(Olympic Games) Virüsü ile İlgili Tüm Bilgiler Açıklanıyor

Zero Days (2016) Belgeseli: Stuxnet(Olympic Games) Virüsü ile İlgili Tüm Bilgiler Açıklanıyor

İran'ın nükleer çalışmalarını durdurmak için yapılan Stuxnet operasyonu ile ilgili tüm gizli kalan bilgiler 8 Temmuz 2016'da yayınlanan Zero Days belgeseli ile açığa çıkıyor. Belgeselde NSA ve CIA çalışanlarından alınan bilgiler ve güvenlik firmalarındaki; Symantec, Kaspersky uzmanların katılımı ile çekilen filmde virüs ile ilgili birçok soru işareti ortadan kaldırılıyor.

Makaleye başlamadan önce Stuxnet ile ilgili anımı anlatmak isterim. Stuxnet virüsünü 2009 yılında ilk gördüğüm zaman A version dediğimiz ilk versiyonunu bilgisayarıma indirip incelemiştim. Konu yeni olduğu için İnternet üzerinde çok da bilgi yoktu. Sadece Tübitak'ın sitesinde 1 yıl sonra konu ile alakalı birkaç makale okumuştum. Birkaç bilgisayar mühendisi arkadaşımla kodu incelediğimizde bilindik bir bilgisayar virüsü (Trojen, Malware) gibi değil belli bir sistem için yazılmış, birçok diziyi barındıran ve sanki gideceği yeri biliyormuş gibi birçok Dword değeri vardı içinde. Yazılım dili olarak C dili kullanılmıştı. Çünkü makine diline en yakın dil C diliydi. İncelemeyi bırakıp konu hakkında ilerleyen zamanlarda tekrar araştırma yaptığımda aynı konuyu araştıran bazı bilgisayar mühendislerinin Stuxnet'in B ve C versiyonlarını bulduklarını öğrendim. Daha sonra sitemde Stuxnet Virüsü Nedir, Nasıl Çalışıyor? ve Kaynak Kodları adlı bir yazı yazarak konu hakkındaki bilgileri toparlayıp konu üzerinde araştırma yapmayı bırakmıştım.

Geçen ay sitemde en çok okunan makaleler arasında Stuxnet konusunun en çok okunan makaleler arasına girdiğini görünce gündemde Stuxnet ile alakalı bir haber olduğunu düşündüm. Zero Days (2016) belgeselini izleyenler anlaşılan Stuxnet yazınca benim siteme gelmişler. Bende belgeseli izleyip yazı yazmaya karar verdim.

Stuxnet virüsünün arkasında Amerika ve İsrail devletinin olduğu dolaylı şekilde biliniyordu. Çünkü 4 adet Zero Days açığı ve bu açıkları kullanmak için hiçbir yerde bulamayacağınız Hardware kimliklerini (Realtek) basit bir Hacker grubunun veya birkaç Geek Developer'ın yapabileceği işler değildi. Araştırma yapanlar bilir ki virüs ilk Belarus'da görünmüştü. Oysaki virüsün Belarus'a gelme hikayesine kadar olan bütün film çok dan oynanmış ve bitmişti.

Stuxnet ismi aslında güvenlik firmalarının (Symantec) uydurduğu bir isimdi.Virüsün asıl adı "Olympic Games" olup yapılan NSA tarafından yapılan siber saldırı operasyonun adı "Operation Olympic Games" idi. Olympic Games'in asıl amacı ülkedeki doğal gaz sistemleri, elektrik santralleri, IoT cihazları, nükleer santraller gibi yerlere sızarak buraları tahrip etmek ve arkada iz bırakmamaktı. Kodu inceleyen güvenlik firmaları kod yazımında hiçbir hatanın olmadığını ve uzmanlar tarafından yazıldığını söylüyordu. Her kod dizisinin ayrı bir görevi vardı ve görevlerini bilen birer yapay zeka gibi yazılmıştı. Realtek dijital kimliğinin ise nasıl ele geçirildiği filmde anlatılmıyor. Kodun içinde SIEMENS donanımı ile ilgili veriler vardı ve virüs SIEMENS PLC sistemlerini hedef alıyordu.

Zero Days (2016) Belgeseli: Stuxnet(Olympic Games) Virüsü ile İlgili Tüm Bilgiler Açıklanıyor

Symantec güvenlik firması Stuxnet kodunun içinde bazı ident code(kimlik kodları) bilgilerinin olduğunu; 7050h, 9500h gibi kimlik ID'lerini İnternet üzerinde "Profibus Device Id 9500h" olarak aratınca VACON Frequency Converter (Frekans dönüştürücü cihazlar) cihazlarına ait olduğunu buldular. Stuxnet'in amacı İran nükleer santrallerindeki Santrifüjlerin dönme hızlarını değiştirerek SCADA sistemlerde bu hızların değişmediği göstermek ve tüm nükleer alt yapı sistemini çökertmekti. Bunda başarılı da oldular.

Belgeselin ortasında bir NSA çalışanın itirafı ile asıl hikaye başlıyor. İtirafçı Stuxnet ile ilgili bilinenlerin çoğunun yanlış olduğunu söylüyordu. Tabi kendisinin bir Snowden tarzı olay olmadığını ve halen NSA'ya bağlılığını sürdüğünü söylüyordu. Herkesin hikayeyi yanlış bildiği için bunun düzeltilmesi gerektiğini düşünüyordu. Stuxnet virüsünü NSA kodlamıştı. Virüsün adı ise Stuxnet değil "Olympic Games (OG)" olup operasyonun içinde CIA, NSA, United States Cyber Command, İngiltere GCHQ ve Unit 8200 Mossad İsrail olup teknik işleri ve tüm işlerin seyrini değiştiren birim İsrail'in Birim 8200 ekibiydi.

İtirafçı NSA'da hackerların çalıştığı yer olan TAO-S321(The Roc) birimde çalıştığını ve bu birimin Amerikanın siber saldırı ve sızma operasyonlarının yapıldığı yer olarak açıklıyordu. Stuxnet operasyonu için İran saldırısı öncesi birçok PLC sistemler üzerinde test yapılmış ve kod başarılı olmuştu. Natanz operasyonu CIA öncülüğünde yapılmış ve NSA'nın yetkileri askıya alınmıştı. NSA'da çalışan Hacker'lara yasal emri ve siber saldırı yapma iznini CIA veriyordu. Amerika da siber saldırı yani Ağ keşiflerine ayrılan bütçe ciddi miktarlardaydı ve Başkanın(President) emri olmadan NSA saldırı yapamıyordu.

Stuxnet virüsünü Natanz'a sokmak için CIA, insan kaynaklarından yararlanmıştı. Çünkü Natanz içindeki ağ izole edilmiş bir ağ yapısındaydı, dışarıdan veri girmesi engellenmişti. Stuxnet bir defa bulaştığı zaman hangi sistemin hedef olup olmadığını anlayıp kendini harekete geçirebiliyor ve yayılabiliyordu. 2010 yılında Amerika kodu değiştirmeye karar verdi ve yeni versiyonunu yazdı. Bu seferki kod daha agresif olacak ama arkada iz bırakmayacaktı. Fakat İsrail'in 8200 birimi kodu daha agresif yaparak Stuxnet'in daha çok yayılmasını istiyordu ve içinde 12 Zero-Day açığı kullanarak kodu daha agresif yaptılar. Tabi bu istek virüsü belli edecekti, çünkü kendi kendine kapanan bilgisayarları İran'lı mühendisler görünce bunun bir siber saldırı olduğunu anlayacaktı. Birim 8200 yeni versiyonlu kodu ilk olarak Natanz tesisi için çalışan etrafındaki beş taşeron firmaya bulaştırdı. Buradan da başta İran olmak üzere birçok çevre ülkelere virüs yayıldı.

İsrail ve NSA arasındaki bu anlaşmazlık kodun açığa çıkmasına neden olmuştu. Bu sayede Tüm Dünyaya yayıldı ve ilk o zaman Belarus'da fark edildi. Rusya ve Çin virüsü fark etmişti. Aslında NSA ve İsrail tüm dünyanın kullanabileceği ve kendileri içinde tehdit oluşturabileceği bir siber nükleer silahı sanal ortama dağıtmıştı. İran bu saldırılardan sonra birçok Santrifüjlerini sökmüştü ama bir yıl sonra daha fazlasını kurarak nükleer çalışmalarını daha da hızlandırdı.

Savaş kuralları gereği nükleer silah kullanmak veya Savaş yasaları tüm Dünya'da geçerlidir. Fakat siber dünya için henüz kurallar yok. Bundan dolayı Tüm devletler için tek kural "Yakalanmadan ne yapabiliyorsan yap!" yaklaşımıdır. İran kendisine karşı yapılan bu saldırılardan dolayı siber birikimini geliştirmek ve ülkeyi savunmak için İran Siber Ordusunu (Iranian Cyber Army IRA) kurdu. İran devleti, başta Amerikan bankaları olmak üzere Amerika ve İsrail'e siber saldırılar düzenlemeye başladı. Filmin sonunda İtirafçı Stuxnet operasyonun asıl planın ufak bir parçası olduğunu anlatarak asıl planın Nitro Zeus(NZ) olup İran'ın hava, kara, haberleşme, askeri istihbarat, güç şebekeleri, ulaşım ve ülkedeki tüm alt yapıyı sabote edecek bir siber saldırı planladıklarını açıklıyor.

Filmdeki benzer bir siber saldırı ülkemizde 31 Mart 2015 Türkiye Geneli Elektrik Kesintisi hadisesi ile yaşanıldığı düşünülüyor. Ülkede 1 gün boyunca elektrikler gitmişti ve sadece İran üzerinden elektrik alan Van ilinde elektrik kesintisi yaşanmamıştı. Stuxnet virüsü ile deneyim kazanan İran veya diğer ülkeler bu silahı çözüp, kendince kodlayıp tekrar başka ülkelere siber silah olarak kullanabilirlerdi...

Kaynaklar
www.imdb.com/title/tt5446858 (IMDB 7,8/10)
tr.wikipedia.org/wiki/GCHQ (İngiltere Siber Savunma Teşkilatı GCHQ)
en.wikipedia.org/wiki/Unit_8200 (Unit 8200 Mossad İsrail)
tr.wikipedia.org/wiki/Birim_8200 (Unit 8200 Mossad İsrail)
en.wikipedia.org/wiki/Iranian_Cyber_Army (Iranian Cyber Army IRA)
github.com/micrictor/stuxnet (Stuxnet Source Code)
github.com/Laurelai/decompile-dump (Stuxnet Source Code)