Siber Güvenlik - Uzmanların ve Suçluların Dünyası #4
Kilit Sanayi Sektörlerine Yönelik Tehditler
Kilit sanayi sektörleri, imalat, enerji, iletişim ve ulaşım gibi ağ altyapısı sistemleri sunmaktadır. Örneğin, akıllı şebeke, elektrik üretim ve dağıtım sistemine yönelik bir geliştirmedir. Elektrik şebekesi, merkezi jeneratörlerden çok sayıda müşteriye güç taşır. Akıllı şebeke, otomatik bir gelişmiş enerji dağıtım ağı oluşturmak için bilgileri kullanır. Dünya liderleri, altyapılarını korumanın ekonomilerini korumak için kritik olduğunu kabul ediyor. Son on yılda, Stuxnet gibi siber saldırılar, bir siber saldırının kritik altyapıları başarıyla yok edebileceğini veya kesintiye uğratabileceğini kanıtladı. Spesifik olarak, Stuxnet saldırısı, endüstriyel süreçleri kontrol etmek ve izlemek için kullanılan Denetleyici Kontrol ve Veri Toplama (SCADA) sistemini hedef aldı. SCADA, imalat, üretim, enerji ve iletişim sistemlerinde çeşitli endüstriyel süreçlerin parçası olabilir. Stuxnet saldırısı hakkında sizlere daha fazla bilgi verecek olursam;
Stuxnet bilgisayar solucanının arkasındaki fikir aslında oldukça basittir. İran'ın "bombayı" almasını istemiyoruz. Nükleer silah geliştirmedeki en önemli varlıkları Natanz uranyum zenginleştirme tesisidir. Gördüğünüz gri kutular, bunlar gerçek zamanlı kontrol sistemleri. Şimdi, tahrik hızlarını ve valfleri kontrol eden bu sistemleri tehlikeye atmayı başarırsak, aslında santrifüjde birçok soruna neden olabiliriz. Gri kutular Windows yazılımını çalıştırmaz; onlar tamamen farklı bir teknoloji. Ancak, bir bakım mühendisi tarafından bu gri kutuyu yapılandırmak için kullanılan bir dizüstü bilgisayara iyi bir Windows virüsü yerleştirmeyi başarırsak, işte o zaman işimiz var demektir. Ve bu Stuxnet'in arkasındaki komplo.
Bu yüzden bir Windows damlalığı ile başlıyoruz. Yük gri kutuya gidiyor, santrifüje zarar veriyor ve İran nükleer programı erteleniyor - görev tamamlandı. Peki bu bilgiler nasıl öğrenildi. Altı ay önce Stuxnet hakkında araştırmalar yapılmaya başlandığında, bu şeyin amacının ne olduğu tamamen bilinmiyordu. Bilinen tek şey, Windows kısmında çok, çok karmaşık, damlalık kısmı, birden fazla sıfır gün güvenlik açığı kullandı. Ve bu gri kutularla, bu gerçek zamanlı kontrol sistemleriyle bir şeyler yapmak istiyor gibiydi. Bu bizim dikkatimizi çekti ve çevremize Stuxnet bulaştırdığımız ve bu şeyi kontrol ettiğimiz bir laboratuvar projesi başlattık. Ve sonra çok komik şeyler oldu. Stuxnet peynirimizi sevmeyen bir laboratuvar faresi gibi davrandı -- burnunu çekti ama yemek istemedi. Bana mantıklı gelmedi. Ve farklı peynir tatlarını denedikten sonra anladım ki, bu yönlendirilmiş bir saldırı. Tamamen yönlendirilmiştir. Damlalık, belirli bir yapılandırma bulunursa ve bulaştırmaya çalıştığı gerçek program kodu aslında o hedef üzerinde çalışıyor olsa bile, gri kutuda etkin bir şekilde geziniyor. Ve değilse, Stuxnet hiçbir şey yapmaz.
Bu gerçekten dikkatimi çekti ve neredeyse 24 saat bunun üzerinde çalışmaya başladık, çünkü "Eh, hedefin ne olduğunu bilmiyoruz. Örneğin, bir ABD elektrik santrali olabilir," diye düşündüm. ya da Almanya'da bir kimya tesisi. Bu yüzden hedefin ne olduğunu yakında öğrensek iyi olur." Böylece saldırı kodunu çıkardık ve yeniden derledik ve bunun iki dijital bombada yapılandırıldığını keşfettik -- biri daha küçük, diğeri daha büyük. Ayrıca, açıkça içeriden bilgilere sahip olan insanlar tarafından çok profesyonelce tasarlandıklarını gördük. Saldırmaları gereken tüm parçaları ve ısırıkları biliyorlardı. Muhtemelen operatörün ayakkabı numarasını bile biliyorlardır. Yani her şeyi biliyorlar.
Stuxnet bilgisayar solucanının arkasındaki fikir aslında oldukça basittir. İran'ın "bombayı" almasını istemiyoruz. Nükleer silah geliştirmedeki en önemli varlıkları Natanz uranyum zenginleştirme tesisidir. Gördüğünüz gri kutular, bunlar gerçek zamanlı kontrol sistemleri. Şimdi, tahrik hızlarını ve valfleri kontrol eden bu sistemleri tehlikeye atmayı başarırsak, aslında santrifüjde birçok soruna neden olabiliriz. Gri kutular Windows yazılımını çalıştırmaz; onlar tamamen farklı bir teknoloji. Ancak, bir bakım mühendisi tarafından bu gri kutuyu yapılandırmak için kullanılan bir dizüstü bilgisayara iyi bir Windows virüsü yerleştirmeyi başarırsak, işte o zaman işimiz var demektir. Ve bu Stuxnet'in arkasındaki komplo.
Bu yüzden bir Windows damlalığı ile başlıyoruz. Yük gri kutuya gidiyor, santrifüje zarar veriyor ve İran nükleer programı erteleniyor - görev tamamlandı. Peki bu bilgiler nasıl öğrenildi. Altı ay önce Stuxnet hakkında araştırmalar yapılmaya başlandığında, bu şeyin amacının ne olduğu tamamen bilinmiyordu. Bilinen tek şey, Windows kısmında çok, çok karmaşık, damlalık kısmı, birden fazla sıfır gün güvenlik açığı kullandı. Ve bu gri kutularla, bu gerçek zamanlı kontrol sistemleriyle bir şeyler yapmak istiyor gibiydi. Bu bizim dikkatimizi çekti ve çevremize Stuxnet bulaştırdığımız ve bu şeyi kontrol ettiğimiz bir laboratuvar projesi başlattık. Ve sonra çok komik şeyler oldu. Stuxnet peynirimizi sevmeyen bir laboratuvar faresi gibi davrandı -- burnunu çekti ama yemek istemedi. Bana mantıklı gelmedi. Ve farklı peynir tatlarını denedikten sonra anladım ki, bu yönlendirilmiş bir saldırı. Tamamen yönlendirilmiştir. Damlalık, belirli bir yapılandırma bulunursa ve bulaştırmaya çalıştığı gerçek program kodu aslında o hedef üzerinde çalışıyor olsa bile, gri kutuda etkin bir şekilde geziniyor. Ve değilse, Stuxnet hiçbir şey yapmaz.
Bu gerçekten dikkatimi çekti ve neredeyse 24 saat bunun üzerinde çalışmaya başladık, çünkü "Eh, hedefin ne olduğunu bilmiyoruz. Örneğin, bir ABD elektrik santrali olabilir," diye düşündüm. ya da Almanya'da bir kimya tesisi. Bu yüzden hedefin ne olduğunu yakında öğrensek iyi olur." Böylece saldırı kodunu çıkardık ve yeniden derledik ve bunun iki dijital bombada yapılandırıldığını keşfettik -- biri daha küçük, diğeri daha büyük. Ayrıca, açıkça içeriden bilgilere sahip olan insanlar tarafından çok profesyonelce tasarlandıklarını gördük. Saldırmaları gereken tüm parçaları ve ısırıkları biliyorlardı. Muhtemelen operatörün ayakkabı numarasını bile biliyorlardır. Yani her şeyi biliyorlar.
Ve Stuxnet'in dropper'ının karmaşık ve yüksek teknoloji olduğunu duyduysanız, size şunu söyleyeyim: Yük, roket bilimidir. Daha önce gördüğümüz her şeyin çok üstünde. Burada bu gerçek saldırı kodunun bir örneğini görüyorsunuz. Yaklaşık 15.000 kod satırından bahsediyoruz. Eski tarz derleme diline çok benziyor. Ve size bu koddan nasıl bir anlam çıkarabildiğimizi anlatmak istiyorum. Aradığımız şey, her şeyden önce sistem fonksiyon çağrıları, çünkü ne yaptıklarını biliyoruz.
Sonra zamanlayıcılar ve veri yapıları arıyorduk ve bunları gerçek dünyayla, potansiyel gerçek dünya hedefleriyle ilişkilendirmeye çalışıyorduk. Bu yüzden kanıtlayabileceğimiz veya çürütebileceğimiz hedef teorilere ihtiyacımız var. Hedef teorileri elde etmek için, bunun kesinlikle sert bir sabotaj olduğunu, yüksek değerli bir hedef olması gerektiğini ve büyük olasılıkla İran'da bulunduğunu hatırlıyoruz, çünkü enfeksiyonların çoğunun bildirildiği yer orası. Artık o bölgede birkaç bin hedef bulamıyorsunuz. Temel olarak Buşehr nükleer santraline ve Natanz yakıt zenginleştirme tesisine kadar kaynar.
Sonra zamanlayıcılar ve veri yapıları arıyorduk ve bunları gerçek dünyayla, potansiyel gerçek dünya hedefleriyle ilişkilendirmeye çalışıyorduk. Bu yüzden kanıtlayabileceğimiz veya çürütebileceğimiz hedef teorilere ihtiyacımız var. Hedef teorileri elde etmek için, bunun kesinlikle sert bir sabotaj olduğunu, yüksek değerli bir hedef olması gerektiğini ve büyük olasılıkla İran'da bulunduğunu hatırlıyoruz, çünkü enfeksiyonların çoğunun bildirildiği yer orası. Artık o bölgede birkaç bin hedef bulamıyorsunuz. Temel olarak Buşehr nükleer santraline ve Natanz yakıt zenginleştirme tesisine kadar kaynar.
Ben de asistanıma, "Bana müşteri tabanımızdan tüm santrifüj ve enerji santrali uzmanlarının bir listesini getir" dedim. Onları aradım ve uzmanlıklarını kod ve verilerde bulduklarımızla eşleştirmek için beyinlerini aldım. Ve bu oldukça iyi çalıştı. Böylece küçük dijital savaş başlığını rotor kontrolü ile ilişkilendirebildik. Rotor, santrifüj içindeki hareketli kısımdır, gördüğünüz o siyah nesnedir. Ve bu rotorun hızını değiştirirseniz, aslında rotoru kırabilir ve sonunda santrifüjün patlamasını sağlayabilirsiniz. Ayrıca, saldırının amacının bunu gerçekten yavaş ve ürkütücü yapmak olduğunu da gördük - açıkçası bakım mühendislerini çıldırtmak için, bunu hızlı bir şekilde çözemeyecekler….
Merhaba değerli üyelerimiz konunun devamı serinin 5. Konusundadır. Okumayı bitirdiyseniz konunun 5. Serisine gidip kaldığınız yerden devam edebilirsiniz.
