Stuxnet virusu

Stuxnet virusu ilk dəfə 2009-cu il iyun ayının ortalarında kiçik bir firma olan VirusBlokAda tərəfindən təsbit edilmişdi. İlk araşdırmalar virusun standart bir soxulcan, troyan və ya ziyankar proqram olmadığını onsuz da göstərirdi, lakin mürəkkəb quruluşu üzündən araşdırmalar davam etdikcə işin miqyası dəyişdi. Soxulcanın çox mürəkkəb quruluşu, istifadə etdiyi taktikalar və hədəfləri göz önünə alınınca, kiber-müharibə adı altında illərcə göstərilən ssenarilərin əslində həqiqət olduğu ortaya çıxdı.

Virusu araşdıran tədqiqatçılar tərəfindən açıqlanan ilk ortaq fikir Stuxnet virusunun çox mürəkkəb bir quruluşa malik olmasıdır. Buna görə də bu virusun bir çox fərqli sahədən olan mütəxəssislərin bir araya gələrək üzərində uzun müddət çalışdığı və xeyli büdcəyə malik bir layihənin məhsulu olduğu tədqiqatçıların ortaq fikridir. Bir çox tədqiqatçı belə bir layihənin sadə bir cinayət təşkilatından daha çox dövlətin dəstəklədiyi bir qurum tərəfindən reallaşdırılmasını söyləyir.

Stuxnetin iş prinsipi
Stuxnet öz mürəkkəb quruluşu ilə hal-hazırda bilinən bir çox ziyankar proqram üsulundan istifadə edir, bununla yanaşı, daha əvvəl heç bir ziyankar proqramda olmayan bir neçə diqqətçəkən xüsusiyyətə də malikdir. Xüsusilə, dörd "sıfır gün" (ing. zero-day) boşluğu, yəni daha əvvəldən bilinməyən boşluğu birlikdə istifadə etməsi, özünü gizləmək üçün istifadə etdiyi nüvə (kernel) drayverlərini rahat yükləyə bilmək üçün etibarlı firmalardan oğurlanmış sertifikatlar ilə drayverlərini imzalaması və ən əhəmiyyətlisi, hədəf olaraq sənaye və enerji təsislərindəki fiziki müddətləri gizlicə dəyişdirməyə çalışmasıdır.

"Sıfır gün" boşluqlarının ziyankar proqramlar tərəfindən istifadə edilməsi əslində yeni bir üsul deyil, lakin daha əvvəl heç bir ziyankar proqramın dörd "sıfır gün" boşluğunu birgə istifadə etdiyi təsbit edilməmişdi. Tək bir "sıfır gün" boşluğunun təsbit edilməsi və onların əməliyyat sistemlərinin hamısında düzgün bir şəkildə işləməsinin təmin edilməsi uzun bir araşdırma və test mərhələsi ilə yanaşı, əhəmiyyətli bir ixtisaslaşma də tələb etməkdədir. Bir boşluğun düzgün şəkildə istifadə edilməsi əhəmiyyətlidir, əks halda ziyankar proqramın təsbiti çox asanlaşar. Bu baxımdan, dörd yeni boşluğun birlikdə problemsiz işlədilməsinin nə qədər ixtisaslaşma, araşdırma və test müddəti tələb etdiyi aşkardır. Stuxnet aşağıdakı boşluqlardan istifadə edir:

  • MS10-046;
  • MS10-061;
  • MS08-67;
  • İmtiyazı artırmaq boşluqları (2 ədəd).

Stuxnet troyanı USB cihazlarından kopyalanaraq və öz-özünü yayaraq yayılır. Windows ilə işləyən və inteqrasiya edilmiş istehsal təsislərinin idarə edilməsini təmin edən Siemens SCADA sisteminin proqram təminatını hədəf alan Stuxnet istehsal sistemlərinə öz kodlarını göndərə bilir. Stuxnet troyanı istehsal kodlarını oğurlayır və PLC (Programmable Logic Controller) dəzgahlarına da yerləşə bilir.

Stuxnet virusunun əsas məqsədi
Maraqlıdır ki, bu qədər hazırlıq və səyin nəticəsində əldə edilən Stuxnet virusunun məqsədi nədir? Stuxnetin hədəfi hal-hazırda mövcud olan viruslar kimi bank və ya onlayn oyun hesab məlumatlarını oğurlamaq, xidmətdən imtina hücumlarını (DDoS) reallaşdırmaq və ya spam e-poçt göndərə bilmək üçün zombi kompüter ordusu qurmaq və icarəyə götürmək deyil. Bunların hamısından fərqli olaraq su mənbələri, neft platformaları, enerji stansiyaları və digər sənaye təsislərinin idarə edilməsi üçün istifadə edilən Siemens SCADA (Supervisory Control And Data Acquisition) sistemlərini ələ keçirib fiziki idarəetmə sistemlərinin işini dəyişdirməkdir. Əgər Stuxnet yoluxduğu kompüterdə bir SCADA sistemi mövcuddursa, onda əvvəlcə mövcud layihələrin kod və dizaynlarını oğurlamağa çalışır, bundan başqa əsas maraqlı məqam isə Stuxnetin öz kodlarını PLC-lərə yükləməsidir. Ayrıca yüklənən bu kodlar, Stuxnetin yoluxmuş olduğu bir kompüterdən PLC-lərdəki bütün kodları araşdırdıqda aşkarlana bilmir. Beləliklə, Stuxnet PLC-lərə yeridilən kodları saxlaya bilən ilk rootkit ünvanına da sahib olur.

Məlum olduğu kimi, hazırda PLC-lər vasitəsilə idarə edilən bank ATM cihazları, kiosklar, PC əsaslı multimedia telefonlar, xəstəxanalarda istifadə edilən müxtəlif növ müalicə cihazları (tomoqrafiya, ultrasəs, rentgen və s.), ölçmə cihazları və IP-telefon stansiyaları kimi yüzlərlə kompüter əsaslı cihaz istifadə edilir.

Symantec mütəxəssislərinin nəşr etdirdiyi araşdırmalar Stuxnet virusunun həqiqi hədəfinin nüvə stansiyaları üçün həyati əhəmiyyəti olan "tezlik çeviriciləri" olduğunu göstərdi. Tezlik çeviriciləri mühərrikin sürətinə nəzarət edərək istehsal sıxlığını dəyişdirən bir güc mənbəyidir. Virusun kodu da İrandakı Fararo Paya və Finlandiyadakı Vacon adlı şirkətlərin istehsal etdiyi çeviricilərə yönəlib. Sürətin dəyişməsi sənaye idarəetmə müddətinin normal işləməsini sabotaj edir. Sürətdəki dalğalanmalar İranda uranı zənginləşdirmək üçün işlədilən minlərlə stansiya arasında xaos yarada bilərdi.

     

Stuxnet soxulcanı dünyadakı neft boru xətlərində, enerji stansiyalarında, yayım-ünsiyyət sistemlərində, aerodromlarda, gəmilərdə və hətta hərbi məqsədlərlə bənzər sistemlərdə istifadə edilə bilər. Kaspersky Lab mütəxəssislərinə görə,  Stuxnet dünyada yeni bir silahlanma yarışına səbəb olacaq bir kiber-silahın canlı və qorxuducu ilk nümunəsidir.

Stuxnet haqqında bəzi maraqlı fikirlər
Kaspersky Lab-ın qurucusu və Baş icraçı direktoru (CEO) Eugene Kaspersky "Bu tam bir dönüş nöqtəsidir, biz yeni bir dünyaya addım atırıq. Keçmişdə yalnız kiber-cinayətkarlar vardı, artıq indiki vaxtda kiber-terror, kiber-silah və kiber-döyüş kimi anlayışlarla qarşı-qarşıyayıq" deyərək təhlükəni diqqətə çatdırır.

Pentaqonun "Kiber-Müharibə" İdarəsinin başçısı admiral Bernard Makkoylh Stuxnet-in tarixdə görülən ən güclü virus olduğunu söyləyib. Stuxnet virusunun məhz İranın nüvə proqramı ilə bağlı hazırlandığı söylənilir. Mossad və Mərkəzi Kəşfiyyat İdarəsi (MKİ) bildirmişdi ki, virus Buşəhrdə işləyən rus mütəxəssislərinin kompüterindən sızaraq nüvə stansiyasında işin tam dayanmasına gətirib çıxarıb. Maraqlıdır ki, "Stuxnet" sözü ruscadan vurmaq, taqqıldatmaq kimi tərcümə olunur. Xarici ölkələrin kəşfiyyat xidmətləri İranın ən toxunulmaz sayılan nüvə obyektini "taqqıldadır". Stuxnet virusu İranın nüvə proqramıyla bağlı 30 minə yaxın kompüterə yoluxmuşdu.

Mütəxəssislər Stuxnet virus proqramının xüsusi olaraq hazırlandığı fikrində həmrəydirlər. Bonn Universitetindən informasiya mütəxəssisi Felix Leder, "Stuxnet virusunu xüsusi edən, əməliyyat sistemlərində daha əvvəl heç qarşılaşılmamış bir insident olmasıdır, məsələn "sıfır-gün" boşluğu, bütün Windows sistemləri üçün universal açar olduğu deyilən zəif nöqtələr yaradır" deyərək, Stuxnet kompüter virusunun olduqca təsiredici bir təchizata sahib olduğunu ifadə etmişdir.

Stuxnet virusunun kimin tərəfindən hazırlandığı ya da göndərildiyi bilinmir. Kaspersky təhlükəsizlik şirkətindən Tilman Werner, "Hal-hazırda bu işin arxasında kimlərin olduğunu təsbit edəcək kafi məlumata sahib deyilik" deyərkən, belə yüksək texnikaya sahib bir proqramın arxasında bir dövlətin olma ehtimalının yüksək olduğunu ifadə edir.

Mahreç Hara şirkətinin mütəxəssisləri virus proqramının içində "19790509" rəqəm silsiləsini aşkarladı. Bunun "9 May 1979" tarixinə təsadüf etdiyi və həmin tarixdə iranlı-yəhudi iş adamı Həbib Elghanianın İsrail adına casusluq etməkdə günahlandırılaraq edam edildiyinə diqqət yetirilir. Daha əvvəl də alman sənaye idarə sistemləri mütəxəssisi Ralph Langner, Stuxnetin kodlarında "Ester" sözünə eyham edən "Myrtus" adlı bir faylın tapıldığını söyləmişdi. Mütəxəssislərə görə, bu yəhudi-İran münasibətlərindən bəhs edən Ester kitabına bir istinad idi. Langner proqramın içindəki məlumat modullarında 24 Sentyabr 2001 (20010924) adlı bir tarixin də olmasını müəyyən etmiş, ancaq bunun mənası aça bilməmişdi.

"Stuxnet, dövlət adına işləyən hakerlerin çatdığı imkana dair bir nümunə təşkil edir" deyən NATO Kiber-Müdafiə Mərkəzindən Kenneth Geers, Stuxnet virusunun, cinayət şəbəkələri üçün də son dərəcə cazibədar ola biləcəyi mövzusunda xəbərdarlıq edir və sözlərini belə davam edir: "Bu virusu yalnız təhlükəsizlik mütəxəssisləri deyil, cinayət şəbəkələri də ən incə detalına qədər araşdıracaq, hətta surətini çıxarmağa çalışacaq".

Stuxnetə qarşı tədbirlər
Stuxnet virusunun qarşısını almaq üçün "Stuxnet Removal Tool" adlı proqram yaradılmışdır. Onu http://www.malwarecity.com/community/index.php?app=downloads&showfile=12 ünvanından yükləmək olar.

İstinadlar

 Əlaqə:
 Telefon: (994 12) 5104253
 E-poçt: info at sciencecert dot az
2013 © AMEA İnformasiya Texnologiyaları İnstitutu
Saytdakı məlumatlardan istifadə edərkən www.sciencecert.az saytına istinad zəruridir.