NetMuhabbet

Etiket: bilgisayar virüsleri

  • Tüm Dünya’yı Soyan Virüs: WannaCry

    Tüm Dünya’yı Soyan Virüs: WannaCry

    WannaCry Nasıl Ortaya Çıktı?

    Teknolojinin artık hayatımızın bir parçası olduğu günümüz dünyasında; kitleleri kontrol etmenin, toplumu izlemenin ve en önemlisi savaşlarda bir adım öne geçmenin yolu şüphesiz ki teknolojide ilerlemekten geçer.

    Bunun en somut göstergesi ise günümüzde yapılan büyük siber saldırılar ve eylemlerin, devletler ve hükümetler tarafından fonlanmasıdır. Hatta bunun en büyük örneği; ABD ile İsrail’in, İran’ın nükleer programını herhangi bir fiziksel saldırıda bulunmadan yalnızca Stuxnet isimli bir bilgisayar virüsü kullanarak sabote etmesi olabilir. Bunun bilincinde olan Amerikan Ulusal Güvenlik Ajansı (NSA), kuruluşu olan 1952’den beri kitleleri kontrol altında tutabilmek ve ayrıca yeri geldiğinde düşman ülkelerden kolayca veri çalabilmek için çok sayıda istihbarat yazılımı geliştirmiş, farklı işletim sistemlerinde global çapta krizlere sebep olacak açıklar oluşturmuş, açıkça söylemek gerekirse canavarlar yaratmış ve bunları zamanı geldiğinde kullanmak için saklamıştır.

    Peki bu canavarlardan biri kafesinden kaçar, yanlış kişinin ellerine düşer ve kontrolden çıkıp tüm dünyayı tehdit eden bir virüse dönüşürse, sonucu ne olabilir? Bir dönem neredeyse her bilgisayara bulaşarak, bilgisayar kullanıcılarının kabusu haline gelmiş ve Dünya çapında geçici olarak hayatı durdurmuş olan WannaCry virüsünü hatırlıyor musunuz?

    -İlk Temas

    Takvimler 12 Mayıs 2017 tarihini gösterdiğinde küresel ölçekte birçok bilgisayar kullanıcısı ortak bir kabusla güne başladı. Bilgisayarlarını açan herkesin sistemlerinin arka planı aynı şekilde değişmiş, dosyaları şifrelenmiş ve herkesin bilgisayarların ekranlarında aynı yazı belirmişti. Birileri ya da birisi sistemlerine sızmış, bütün dosyalarını şifreleyerek kilitlemiş ve tüm bunların düzelmesi için fidye talebinde bulunuyordu. İnsanlık WannaCry virüsü ile bu şekilde tanıştı.

    O gün bilgisayardan oyun oynayanlardan, kargo firmalarına, operatör servislerinden, sigortacılık şirketlerine ve hatta daha da kötüsü, hastaneler de dahil olmak üzere 150 ülkeden 250 bin bilgisayar aynı kaderi yaşıyor; WannaCry kabusu yüzünden sistemleri kitleniyor ve bilgisayarları kullanılmaz hale geliyordu.

    Bazı ülkelerde telekomünikasyon şirketleri WannaCry virüsünden etkilenerek çöktüğünden dolayı, etkilenen operatörlerin kullanıcıları arama yapamıyor; İngiltere’de hastaneler çalışamıyor ve ambulans çağırılamıyor, Rusya’da üniversiteler eğitime devam edemiyordu. Resmen hayat durma noktasına gelmişti ve işin kötü yanı kimse virüsün nerden bulaştığını ve sisteme nasıl sızdığını anlayamıyor, en güvenli sistemler bile hackleniyor; tüm haber kanalları, teknoloji forumları ve gazeteler bu büyük siber saldırıyı konuşurlarken akıllardaki soru ise belliydi. Kim, nasıl ve neden böylesine büyük bir siber saldırı düzenlemişti?

    Cevap aransa da bulmak imkansızdı çünkü saldırı bir ülkeye veya gruba değil küresel ölçekte yapılıyordu. Yaşanan bu saldırı aslında yeni değildi. Kaynağı 5 yıl öncesine, ABD’nin Maryland eyaletindeki ABD Ulusal Güvenlik Ajansı’na (NSA) dayanıyordu. 2011 yılının bahar aylarında; NSA, Windows cihazlarda fark ettiği bir güvenlik açığı üzerine istihbarat projesi geliştirmeye başladı. Tüm Dünya’dan istedikleri zaman veri toplamak, toplumu ve büyük kitleleri kontrol altında tutabilmek için daha önce yüzlerce proje geliştirmiş olan NSA; bu sefer yeni ve çok daha büyük bir projeye imza atmıştı.

    -Büyük NSA Projesi: EternalBlue

    EternalBlue projesi; Microsoft’un bilgisayarlar arası dosya gönderimi ve ağa bağlı cihaz kontrolü gibi görevleri yerine getirmek için kullandığı sunucu ileti protokolünün bazı paketleri işleyemeden onayladığını fark eden NSA, bu açığı fark ettikten hemen sonra üzerine yoğunlaşıp ardından da bu açığı da bir proje haline getirmiştir. Bu proje sayesinde istedikleri sistemde istedikleri kodları çalıştırabiliyor, istedikleri verileri elde edebiliyor, isterlerse sistemi kullanılmaz hale getirebiliyor ve hatta tüm bunları o sistemin bağlı olduğu ağdaki tüm cihazlara yapabiliyorlardı.

    Bu şu anlama geliyor: Bir savaş anında eğer düşman ülke Windows kullanıyor ise o ülkenin tüm hastanelerine, iletişim ağlarına, askeri planlarına ve ağa bağlı olan tüm bilgisayarlarına sızmak, kullanılamaz hale getirmek ve o ülkedeki hayatı durdurabilmek demek. NSA, 2011 yılından 2016 yılına kadar tam 5 yıl boyunca EternalBlue projesini sakladı ve Microsoft’u projeden haberdar etmeden sistemdeki açıkları kullandı. İstedikleri tüm sistemlere sızıp, istedikleri her şeyi yaptılar ve gerçekten çok güçlülerdi ancak unuttukları bir şey vardı. İnternetteki hiçbir sistem güvende değildir.

    -Kafesi Çalınan Canavar:

    Bu yüzden EternalBlue projesinin ortaya çıkarılması çok da uzun sürmedi. Ağustos 2016 tarihinde Twitter’da, Shadow Brokers adındaki bir hesap, kendileri tarafından NSA’in hacklendiğini ve EternalBlue projesi dahil olmak üzere NSA’in geliştirdiği tüm projeleri çaldıklarını ve bunu açık arttırma yolu ile satacaklarını iddia ettikleri bir yazı yazan linki paylaştılar.

    İşin kötü yanı ise linkteki yazılar ciddi kanıtlar içeriyordu, çalınan projeler arasında zamanında İran’ın nükleer programını sabote etmek için üretilmiş ve başarılı olmuş Stuxnet projesi bile vardı. Paylaşılan yazıdaki görsel kanıtlar yetmezmiş gibi Shadow Brokers adı verilen bu grup, bazı projeleri bedava olarak yayınlamış ve insanların açık arttırmaya nasıl katılabileceklerini anlatıp sessizliğe bürünmüşlerdi. Sızıntı gerçekti ve bu yüzden NSA tam 5 yıldır bilmelerine rağmen sakladıkları tüm açıklarla ilgili Microsoft’u bilgilendirdi.

    Microsoft ise kimseye bir açık olduğunu duyurmadan yeni güvenlik güncelleştirmeleri getirdi ama hangimiz Windows güncelleştirmelerini öncelik haline getiriyor, yayınlandığı gibi yapıyoruz ki? Artık her şey için çok geç kalmışlardı çünkü kimse Shadow Brokers grubunu bulmayı bırakın, onlara dair herhangi bir ize bile rastlayamıyordu. 14 Nisan 2012 tarihinde ise Shadow Brokers, EternalBlue projesini herkese açık olarak paylaştı ve 12 Mayıs 2017 tarihinde kaos başladı. İçerisinde birçok Türk şirketten tutun ünlü kargo firması FedEx, birçok ülkeden onlarca operatör, hava yolu şirketleri hatta en kötüsü insanların hayatlarını kurtaran hastanelerin bile bulunduğu 150 ülkeden 250 bin bilgisayar o gün açıldığında ekranlarında aynı görüntü vardı.

    Tüm sistemlerin arka planları değişmiş, dosyalar şifrelenmiş ve tüm bilgisayarların ekranında aynı program gözüküyordu: WannaCry. İnsanlar nasıl olduğunu anlamadıkları bir şekilde bilgisayarlarına virüs bulaşmasına sebep olmuştu. Wana DecryptOr 2.0 adında bir uygulama, açıkça bilgisayardaki dosyaların tümünü şifrelediğini ve belirtilen süre içerisinde 300 dolarlık Bitcoin yollamazlarsa tüm dosyaları sileceği yazıyor eğer para üç günden geç gelirse ödemenin iki katına çıkacağını açıkça belirtiyordu. Programı kapatamıyor ya da dosyalarınızı geri alamıyordunuz, yani programdan kurtulmanın hiçbir yolu yoktu.

    Önceki gece bilgisayarlarını normal bir şekilde kapatan hatta belki de hiç açmayan insanlar bile 12 Mayıs’ta bilgisayarlarını açtıklarında virüsle karşılaşıyorlardı. Virüsün bilgisayarınıza bulaşması için yapmanız gereken hiçbir şey yoktu çünkü o bilgisayarınızı buluyor ve bulaşıyordu.

    Microsoft, EternalBlue projesinden haberdar olmasına rağmen değer kaybetmemek için hiçbir açıklama yapmadığı ve yalnızca bir güvenlik güncellemesi getirdiği için herkes tehlikedeydi. Sebebi ise Windows güncellemesini yapmadıysanız, eski sürümlerdeki sistem açığından dolayı ağa bağlı olduğunuz sürece virüs bilgisayarınızı otomatik olarak tespit ederek bulaşıyordu.

    İngiltere ve İskoçya’da Ulusal Sağlık Sistemi çöktü, çok acil durumlar olmadığı sürece hiçbir hastane hasta kabul edemedi ve ambulans gönderemedi. Rusya İçişleri Bakanlığı, Rusya Acil Durum Bakanlığı ve Rus telekomünikasyon şirketleri de aynı kaderi yaşayarak çöktü. Nissan ve Renault birkaç günlüğüne üretimi durdurdu. Telefonika, FedEx, Almanya Demir Yolları, Çin Kamu Güvenliği Bürosu, Honda, onlarca petrol şirketi ve bankalar virüsten dolayı kapalı kaldı. Günler boyunca yüzlerce firmanın sistemleri kapalıydı ve sadece firmalar değil, Türkiye’de dahil olmak üzere Dünya’nın dört bir yanından insanlar da verilerini kaybediyordu. WannaCry milyonlarca değil milyarlarca dolar zarara sebep oluyor, Dünya genelinde resmen bir siber pandemi yaşanıyor ve kimse virüsün önüne geçemiyordu.

    NSA yani Amerikan Ulusal Güvenlik Servisi, uluslararası çapta güvensizliğe sebep olmuştu. Yarattıkları canavar kontrolden çıkmıştı ancak kimse bunu düzeltmiyordu. Ta ki Marcus Hutchins adında, 23 yaşındaki genç bir siber güvenlik uzmanı kariyerinde büyük bir sıçrama yaşayabilmek ümidiyle WannaCry virüsünün kodlarını incelemeye karar verene kadar.

    -Aşıyı Bulan Kahraman: Marcus Hutchins

    Evet doğru okudunuz WannaCry krizini başa bela eden NSA ya da insanları yeterince bilgilendirmeyen Microsoft değil, genç bir siber güvenlik uzmanı düzeltmeye uğraşıyordu. Hutchins, kodları incelerken bir şey fark etti. WannaCry virüsü, sanal makinelerde çalışmayı önlemek için her açıldığında bir web sitesinde sorgu gönderiyordu ve işin iyi yanı sorgu gönderdiği web sitesi gerçekte hiç var olmamıştı.

    WannaCry virüsünün her açıldığında sistemin bir ağa bağlı olup olmadığını kontrol etmek için sorgu gönderdiği web sitesi rastgele sayı ve harflerden oluşuyordu. Bu noktaya geldiğinde ise Hutchins, 10 dolar 69 cent vererek bu web sitesini satın aldı. WannaCry virüsü ise sorgu gönderdiği web sitesinden yanıt almaya başlayınca çalışmayı durdurdu. 150 ülkede, 250 bin bilgisayarın hepsinde WannaCry virüsü büyülü bir şekilde çalışmayı durdurmuştu, kabus bitmişti.

    -Marcus Hutchins Kimdir?

    Peki olayın ardından Marcus Hutchins’e ne oldu? İncelemeler sonucunda Hutchins’in basit bir siber güvenlikçiden öte, virüs tasarlayıp Dark Web’de satan hatta çok bilinen bir banka virüsü olan Kronos’un yapımcısı olduğu ortaya çıktı ve FBI tarafından Nevada eyaletinin Las Vegas şehrinde tutuklandı. Günümüzde ise WannaCry virüsü, sisteminizi düzenli olarak güncelleyen biri iseniz bir tehdit değil. WannaCry virüsünü kimin yaptığını sorarsanız ABD, Kuzey Kore’yi suçlasa da gerçek hala büyük bir sır.

    Kaynaklar:

    -[WannaCry Virüsü ile İlgili En Kapsamlı Video] www.youtube.com

  • Dünya’nın En Tehlikeli ve Zararlı Virüsü: Mydoom

    Dünya’nın En Tehlikeli ve Zararlı Virüsü: Mydoom

    Mydoom Öncesi Virüs Mailleri

    26 Ocak 2004, o güne kadar ki Dünya’nın en tehlikeli virüsü olarak kabul edilen “ILOVEYOU” virüsünden 4 yıl sonra. İletişim kurmak için sosyal medya yerine e-postaların kullanıldığı antik çağlar.

    Aslında yalnızca 21 yıl önceden bahsediyoruz. Bilgisayar kullanıcıları artık daha bilinçliydi. Bir aşk mektubu gibi gözüken “ILOVEYOU” gibi virüslü maillere karşı artık daha temkinlilerdi. Ancak daha internetin yeni yeni yayıldığı bu dönemlerde e-postaların içeriği teknik bir hata sonucu word dosyası ya da not defteri olarak gönderilebiliyordu.

    Bu problem artık alışılmış olduğu için insanlar başlığına aldırıp masum duran bu e-postaları açabiliyorlardı. Bu patronlarından, üniversitelerinden ve ya başvurdukları bir iş yerinden gelen bozulmuş bir e-posta olabilirdi.

    Tabi ki “Melissa” ve “ILOVEYOU” virüslerinin ardından her mail açarken dikkatli oluyorlardı. Ancak içeriğini görmek için not defteri çalıştırmanız gereken hatılı bir e-posta ne kadar büyük bir soruna sebep olabilirdi ki?

    -Mydoom Ne Yapıyordu?

    E-postada bulunan word dosyası ya da not defteri olarak gözüken belgeyi birçok kullanıcı açtı. Açtıkları andan itibaren “Mydoom” adı verilen virüs kendini Windows’un sistem dosyalarının içerisine kopyalamaya başladı.

    Ardından zaten Windows içerisinde bulunan “Taskmon.exe” dosyasını aynı isimli farklı bir virüs ile değiştirdi. Ardından 3127-3198 TCP dinleme portlarını listeleyen “shimgapi.dll” adında bir dosya oluşturdu.

    TCP dinleme portları uygulamaların kullandığı bir internet protokolüdür. Bu protokolü kontrol etmek demek, bu protokolü kontrol ettiğiniz bilgisayara kendi bilgisayarınızdan erişim sağlayabilmek anlamına gelmektedir. Dünya’nın neresinde olursanız olun kontrol ettiğiniz bilgisayara dosya indirtebilir, çalıştırabilir ya da silebilirsiniz.

    Yani “Mydoom” virüsünü gönderen kişi, bu virüsün bulaştığı tüm bilgisayarlara aynı anda istediğini yaptırabilir. Virüsün yaptığı tek şey bu da değil. İşletim sisteminin tüm verilerini ve tercihlerini içeren ana yazılım olan Windows kayıt defterine iki veri giriyor:

    Verilerden birine göre bilgisayar her açıldığında, virüs de bilgisayarla beraber açılacak. Diğer veriye göre ise internete her girildiğinde dinleme portlarını listeleyen “shimgapi.dll” internet ile beraber açılacak. Kısaca virüsü indiren bilgisayarın tüm güvenliği ve şifreleme sistemleri atlanarak yetkisiz erişim ve işlemlere açık hale gelecek.

    Tüm bunlar olurken de uzantıyı açan kullanıcı ekranında hiçbir şey göremeyecek. Yani virüsün bilgisayarına bulaştığının bile farkında olmayacak. Bu kadar ile yetindiğini sanıyorsanız maalesef yanılıyorsunuz. Virüs ayrıca kendini kopyalayarak virüs bulaşan kullanıcının adres defterindeki herkese kendi kopyasını gönderiyordu.

    Virüsü kendinden öncekilerden ayıran ise hemen ortaya çıkmamak, bir süre de olsa gizlenebilmek için yaptığı bazı tercihlerdi. Kendini asla “.gov”,”.edu” ya da “.mil” gibi devlet mail adreslerine yollamıyordu. Ayrıca bilgilendirme için kullanılan “help” ya da “admin” gibi maillere de kendini göndermekten sakınıyordu.

    Onu diğerlerinden ayıran buydu. “ILOVEYOU” gibi virüsler bilgisayarda çalıştırıldığı an ortaya çıkıyor ve bütün dosyaları bozuyordu. Mydoom ise görünürde sistemde herhangi bir şeyi değiştirmiyordu. Bu yüzden diğer virüsler gibi birkaç saat içinde değil tam 1 gün sonra fark edildi.

    27 Ocak tarihinde öğle saatlerinde, herkesin aktif olduğu dönemde internet dünya çapında %10 kadar yavaşlamıştı. Bir internet sitesine girmek iki kata kadar daha uzun sürüyordu. Virüsün farkına varılmıştı ancak artık atılan 10 mailden biri Mydoom içerikliydi. Virüs artık her ağda, her sunucuda ve neredeyse her bilgisayardaydı.

    Diğer virüsler gibi net bir görüntü veya dosyası da olmadığı için insanlar fark edemiyordu. Tek bilinen şey bir problem olduğuydu. Problemi çözmek için ise markalar belki de yapmaktan pişman olacakları bir şey yapmaya karar verdiler. Bir cadı avı başlattılar.

    -Ava Çıkan Avlanır

    Kurşunu ilk sıkan Amerikalı bir donanım şirketi oldu. SCO Grubu, virüsle ilgili ya da virüsü yazan kişi ile ilgili herhangi bir ipucu ya da bilgi bulana 250.000 dolar teklif ettiler. Bu kendilerini bir açık hedef haline getirdi. Bu açıklamadan bir gün sonra virüsün yeni bir versiyonu “Mydoom.b” ortaya çıktı.

    Virüsün ilk sürümüne sahip bütün bilgisayarlar, yeni sürüme güncellendi. Yeni virüs, önceki versiyonundan daha farklı ve çok daha zararlıydı. Bulaştığı bütün makineleri bir tür zombiye çevirip; karşısında kim varsa, cadı avına kim destek veriyorsa ona saldırtacaktı.

    Bunu bir nevi kovan zihni olarak da düşünebilirsiniz. Kraliçe arıyı yani virüsü yazan kişiyi korumak için yakalamaya çalışanlara engel olacaklardı. Bunu da cadı avına destek veren şirketlerin internet sitelerine DDOS saldırısı düzenleyerek yapacaklardı.

    -DDOS Saldırısı Nedir?

    Bir internet sitesinin eş zamanlı olarak hizmet verebileceği kişi sayısı limitlidir. Ayrıca siteyi içinde barındıran sunucunun kapasitesi ve sunucuyu internete bağlayan kanal da sınırlıdır. İstek sayısı altyapıdaki sınırı her aştığında internet sitesi çöker. Buna DDOS saldırısı denir.

    Virüsün bu yeni versiyonu olan Mydoom.b seçtiği bir adrese, bulaştığı makinadan her saniye 64 defa istek gönderebiliyordu. Yeni versiyonun yayınlanmasının ardından, Microsoft’da 250.000 dolar ile cadı avına katıldı.

    1 Şubat 2004, Microsoft’un ödül koymasından 3 gün sonra internet ağ trafiği biraz olsun rahatlamış artık sitelere girmek hızlanmıştı. Garip bir şekilde e-posta trafiği de kesilmişti. Yeni versiyon olan Mydoom.b yayılmayı durdurmuştu. Virüsün başındaki kişi her kimse 500.000 dolar ödül konması kendisini korkutmuş gibiydi. SCO Grubu ve Microsoft hiçbir şey yapmadan, yalnızca bir ödül koyarak zafer elde etmişlerdi. En azından öyle sanıyorlardı.

    Virüsün bulaştığı yaklaşık 1.000.000 (bir milyon) bilgisayar aynı emri aldı. Saniyede 64 defa “sco.com” adresine saldıracaklardı. Bu o güne kadar görülen en büyük DDOS saldırısıydı. Hatta öyle ki “sco.com” DNS’den yani internetin kendisinden silindi.

    İki gün sonra aynı şey Microsoft’un başına geldi. Microsoft şanslıydı çünkü DNS’den silinmeden bu saldırıyı atlatabildi.

    Yaşanan bu iki olayın ardından kendileri şaşkın ve korkmuşlardı. Virüse karşı bir hamle yaparak insanları bilgilendirebilmek için “information.microsoft.com” adında yeni bir site kurdular.

    Ardından bütün bilgisayarlar bu siteye de saldırdı. İnsanlar daha bilgilendirme sitesine bile giremeden site kapanmıştı. Altı gün sonra virüsün yeni versiyonu ortaya çıktı. DoomJuice.

    Daha fazla bilgisayara yayılıp tekrardan Microsoft’a saldırdı. Ertesi gün ilk versiyon, 26 gün sonra ise ikinci versiyon olan Mydoom.b çalışmayı durdurdu. Aylar sonra internet, firmalar ve insanlar rahatlamıştı. Saldırılar nihayet bitmiş ve virüs yayılmayı durdurmuştu. İnternet eski hızındaydı. Kimse olanlara anlam verememişti ama nasılsa Mydoom bitmişti.

    26 Temmuz 2004 tarihine kadar. Virüsler yayılmayı durdurmuştu ancak bulaştığı makinalarda hala duruyordu. Virüsü yapan kişinin hala bütün makinalara erişimi vardı. Bu sefer Mydoom daha büyük bir hedef seçti ve Google tam 1 iş günü boyunca kapalı kaldı. 23 Eylül tarihine kadar virüs birçok yeni versiyona sahip oldu.

    Mydoom.u, Mydoom.v, Mydoom.w, Mydoom.x versiyonlarıyla internette yayılmaya devam ediyordu. Ancak eskisi kadar etkili değildi ve saldırılara sebep olmuyordu.

    Tam 5 yıl sonra. 2009 yılında ise Beyaz Saray’ı, Pentagon’u, The Washington Post’u, Nasdaq borsasını ve Amazon’u çökertti. Ardından Güney Kore Savunma Bakanlığı’nı, İçişleri bakanlığını ve Dünya’daki tüm istihbarat servislerini.

    -Mydoom Sonrası Dünya:

    Peki sonra ne oldu? Günümüze geldiğimizde Mydoom’un toplam verdiği zarar 54 milyar dolar olarak hesaplanıyor. Yapımcısı hala bir sır. Veriler incelendiğinde ise günümüze kadar yollanmış bütün maillerin %20-25 kadarı Mydoom içeriyor. Günümüzde atılan oltalama maillerinin ise %01 kadarı hala Mydoom virüsüne sahip.

    Kaynaklar:

    -[MyDoom Virüsü ile İlgili En Kapsamlı Video] www.youtube.com

  • İnternet Tarihinin En Tehlikeli Silahı: Stuxnet

    İnternet Tarihinin En Tehlikeli Silahı: Stuxnet

    Stuxnet Nasıl Ortaya Çıktı?

    Bir bilgisayar virüsü en fazla ne kadar zarara sebep olabilir? Daha önce hepimiz bilinçsizce internet kullandığımız dönemlerde bilgisayarımıza bir şekilde virüs bulaştırmışızdır. İnternet tarihi incelendiğinde yüzlerce virüs farklı çalışma şekilleriyle milyonlar hatta milyarlarca dolar zarara sebep olmuş, şirketler batırmış hatta uluslararası çapta krizlerin çıkmasında sorumlu olmuştur. Veriler çalmaları, sistemleri çökertmeleri hatta sistemlere geri dönülemez hasarlar vermeleri dışında daha önce bir virüsün nükleer bir tesisi havaya uçurduğunu duymuş muydunuz?

    2000’li yılların başlarında Ortadoğu’da siyasi dengeler değişiyor, Dünya yavaş yavaş yeni bir savaşa doğru ilerliyordu. ABD ve İsrail’in, Ortadoğu’ya yaptıkları baskıyı her geçen gün arttırmaları yetmezmiş gibi bölgedeki devletler de kendi aralarında savaşıyor ve her geçen gün gerilim artıyordu. 90’lı yıllarda Irak ile girdikleri savaşta, Irak’ın kimyasal silah kullandığı iddiası ile karşılaşan İran artan baskılar ve geçmişteki kimyasal silah kabusundan dolayı bölgedeki gücünü ve caydırıcılığını arttırmak için yeni bir yola başvurdu. Nükleer silah geliştirmek.

    İran tarafından bir nükleer silah geliştirildiği haberini alan başta İsrail olmak üzere Ortadoğu devletler ve ABD bu haber karşısında kayıtsız kalamazlardı. Ancak sıcak temas yoluyla örneğin bir savaş çıkararak bunu önleyemezlerdi. İran her geçen gün nükleer silah üretmeye daha da yaklaşırken diğer devletler yalnızca izleyecek gibi gözüküyordu. İran, nükleer silah üretim planı için ülkelerinin birçok farklı noktasına tesisler kurdu. İlk adımı ise uranyum zenginleştirme tesisi kurarak attılar.

    Difüzör ile gaz haline getirilmiş olan uranyumu bir santrifüj tüpüne yerleştirip belirli bir devirde döndürerek uranyumu yoğunlaştıracaklardı. Bu devir sayısını kontrol eden ise bir yazılımdı. Devir sayısı doğru ayarlandığında kütlesi ağır olan uranyum 238 bu yoğunlaştırma işlemi sayesinde santrifüj tüpünün dışında kalırken uranyum 235 santrifüj tüpünün merkezine toplanıp rafine bir şekilde elde edilecekti. Bir nükleer silah geliştirmenin en önemli adımlarından olan yakıt elde etme adımını atmışlardı fakat her şey planlandığı gitmemişti ve bir sorun yaşanmıştı.

    2009 yılında Natanz Nükleer Tesisi’nde bulunan bir santrifüj tüpü belirlenen devirden daha hızlı bir devirde çalıştırılmış ve sonucunda patlayarak parçalara ayrılmıştı. Parçalanan bu santrifüj tüpü ise kaybolmuştu. İran, bu kazanın bir yazılım hatası olarak değerlendiriyordu. Tarihte ilk defa bir bilgisayar virüsü fiziksel olarak bir hasara sebep vermiş ve İran’daki bir nükleer tesisi sabote etmişti.

    İran’ın yazılım sorunu olarak değerlendirdikleri şey aslında ABD ve İsrail tarafından ortak olarak üretilen Stuxnet’in ilk saldırısıydı. Patlayan santrifüj tüpü İran için yalnızca bir başlangıçtı. ABD ve İsrail ortak olarak geliştirdikleri Stuxnet’in vereceği zararı bu kadar ile bırakmayacaklardı. İran’ın bir nükleer silah geliştirip bölgedeki baskınlığını arttırmasının önüne geçebilmek için her şeyi yapmaya hazırlardı.

    -Stuxnet Nasıl Çalışır?

    Aslında Stuxnet düşündüğünüzden çok daha basit çalışıyordu. İçerisinde Stuxnet virüsü barındıran bir USB bellek taşıyan bir ajan, İran’daki Natanz tesisine giriyor ve ana bilgisayar ile bağlantısı olan bir bilgisayara bu virüslü USB belleği takıyordu. Bellek bilgisayar tarafından tanımlandığında ise virüs sisteme bulaşıyor ve tesisteki su pompaları, santrifüj cihazları ve diğer tüm cihazların devir hızını kontrol eden Siemens SIMATIC STEP 7 yazılımını hedef alıyordu. Bu sayede santrifüjlerin devir hızını (RPM) gizlice değiştiriyor: Normalde 1.064 Hz olan hızı 1.410 Hz’e çıkarıp 15 dakika bu hızda tutuyor, sonra 2 Hz’e düşürüp 50 dakika boyunca neredeyse durma noktasına getiriyor ve vuruşma yaratıyordu. Cihazlar bozulurken, operatörler normal gördükleri için fark etmiyorlardı ve sonucunda santrifüj cihazı patlıyordu. Ancak Stuxnet, sabotaj yapmakla kalmıyordu. Bulaştığı sisteme bağlı tüm cihazlara dağılıyor ve toplayabildiği kadar veri topluyordu.

    Stuxnet o kadar profesyonel bir şekilde hazırlanmıştı ki hiçbir antivirüs programı onu tespit edemiyordu. Çünkü virüs bir yasal programmış gibi kodlanıyordu. Saldırmak için kullanılan sürücüler yasal imza prosedürlerinden geçiyordu. Bilgisayara yüklendiği andan itibaren bilgisayarda bulunan tüm lisansları çalıp kendi üzerine işliyordu. Bu sebeple bilgisayarı kullanan kişinin karşısına hiçbir uyarı çıkmıyordu. Bunu kanınıza giren bir bakterinin alyuvarlarınıza ait bütün verileri çalıp kullanması ve bu yüzden da bağışıklık sisteminizin bakteriyi alyuvar sanıp harekete geçmemesi gibi düşünebilirsiniz.

    Sıradan bilgisayar virüsleri 10 Kb gibi bir boyuta sahipken Stuxnet 500 Kb yani tam olarak 50 kat daha büyük bir boyuta sahip olduğu ve lisansları kullanarak sistem içerisinde gizlenebildiğinden dolayı gözden kaçıyor ve tüplerin patlaması bir yazılım hatası olarak değerlendiriliyordu. İran’ın nükleer projesine karşı olan ABD ve İsrail’in ortak çalışması ile oluşmuş bir virüsün bunları yapması kimsenin aklına gelmiyordu. Stuxnet ise mükemmel gizlilikte çalışan bir sabotaj programından çok daha fazlasıydı. Girdiği sisteme bağlı bulaştığı tüm bilgisayarlardaki verileri yedekliyor ve direkt olarak merkeze aktarıyordu. Nükleer programda çalışan kişiler, tüplerin alındığı yerler ve daha birçok bilgi ABD ve İsrail tarafına da gidiyordu. Stuxnet çalıştırılmaya başlandıktan sonraki 2 yıl içerisinde nükleer programda çalışan yüksek rütbeli mühendisler, bilim insanları ve askerler araçlarına kurulan bombalı düzeneklerin patlaması ile suikast sonucu öldürülüyorlardı.

    İran hükümeti bunu başta anlamlandıramamış olsa da zamanla bir takım önlemler aldılar. Nükleer tesislerdeki interneti lokal bir ağ haline getirdiler ve tesise giriş çıkışları daha denetimli hale getirdiler. Yaşanan suikastler ve sabote edilen santrifüj tüplerinden dolayı tesise giriş çıkışlar giderek daha da denetimli hale getiriliyordu. Stuxnet’in çalışması için içeriye bir ajan sokmak gerektiği için ajanın yakalanması ve virüsün açığa çıkması artık an meselesi olmuştu.

    Bu noktada işleri kontrolden çıkaracak bir karar alındı. Daha yayılmacı bir Stuxnet versiyonu geliştirilecek ve son bir kez tesise sokulacaktı. Yeni Stuxnet versiyonu sabotaj ve veri çalmanın yanında artık bulunduğu ağdaki tüm cihazlara bulaşıyordu. Virüsün bulaştığı cihaz bir ağa bağlandığında ise artık o ağdaki tüm cihazlar da etkileniyordu. Kimliği tespit edilmemiş olan ajan son bir kez daha tesise sokuldu ve yine virüsü içeren bir belleği ana bilgisayara taktı. Natanz Nükleer Tesisi’ndeki tüm makinelere başarılı bir şekilde sızmıştı ancak yeni versiyonun yayılmacı güncellemesi onun yalnızca nükleer tesis ile sınırlı kalmamasına sebep oldu.

    -Yeni Stuxnet Versiyonu

    Yeni Stuxnet versiyonu o kadar yayılmacıydı ki birkaç ay içerisinde bütün İran’a yayılmıştı. ABD ve İsrail yeni Stuxnet versiyonu sayesinde artık milyarlarca dolar harcasalar da elde edemeyecekleri istihbaratı elde etmişlerdi. Fakat beklenmeyen bir gelişme oldu. Virüs o kadar hızlı bir şekilde yayılmaya devam etti ki artık İran ile sınırlı değildi. ABD’de, Hindistan’da, İsrail’de ve hatta Azerbaycan’da bile görülmeye başlamıştı. İşler geri dönülmez bir noktaya gitmeden önce son bir vurgun yapıldı. Natanz Nükleer Tesisi’ndeki bütün sistemler normal devirlerinin çok üstüne çıkartılarak patlatıldı. Natanz Nükleer Tesisi artık kısmen devre dışıydı.

    CIA ve İsrail bu virüsü nasıl durduracaklarını düşünürken korktukları şey gerçekleşti. Virüsün kimliği açığa çıktı.

    İran’da bulunan bir teknoloji firmasında tüm bilgisayarlar durmadan mavi ekran hatası veriyor ve ne yapılırsa yapılsın durmadan çöküyordu. Firmanın sahibi, VirusBlokAda Antivirüs firmasında çalışan Belaruslu Sergei Ulasen’e ulaştı. Sergei ve ekibi Stuxnet’i bir şekilde sistemden izole edip incelediklerinde hayatlarındaki gördükleri en kompleks kodlara sahip virüsle karşılaştılar. Bu olaydan sonra Stuxnet onlarca antivirüs firması tarafından incelendi ve Dünya kamuoyu virüs ile ilgili bilgilendirildi. İran konuyla ilgili 64 sayfalık bir makale yayınladı ve daha ciddi önlemler aldı.

    -Stuxnet’in Sonuçları:

    İran’ın nükleer programı durdurulamamıştı ancak çok fazla zaman ve para kaybettirildiği kesindi. Tarihte bir virüs ilk defa bir nükleer tesise sızmış ve tesisi kullanılamaz hale getirmiş tabiri caizse patlatmıştı. Virüsü kimin hazırladığı günümüzde hala bilinmiyor. ABD ve İsrail hala sorumluluk kabul etmemiş olsa da İsrail Savunma Kuvvetleri’nden emekli bir general olan Gabi Ashkenazi emeklilik partisinde gururla Stuxnet hakkında konuştu.

    Kaynaklar:

    – [Stuxnet Virüsü ile İlgili En Kapsamlı Video] www.youtube.com
    – [IAEA Natanz Raporları PDF (2009–2010)] www.iaea.org
    – [Ralph Langner — Stuxnet Analizi] www.langner.com
    – [Wikipedia — Stuxnet] en.wikipedia.org/wiki/Stuxnet