Siber güvenlik söz konusu olduğunda insanların aklına SCADA (Supervisory Control and Data Acquisiton / Merkezi Denetleme Kontrol ve Veri Toplama) / ICS (Industrial Control Systems/ Endüstriyel kontrol sistemleri) sistemlerine yapılan saldırılar pek gelmeyebilir. Bu yazıda SCADA sistemlerine yapılan tarihteki önemli saldırılarından iki tanesine değinerek aslında siber güvenlik ya da siber tehdidin kapsama alanının düşünülenden çok daha geniş olduğunu vurgulamak istiyorum.
Bunlardan ilki Stuxnet`tir. Tarihteki belki de en önemli SCADA/ICS saldırılarından biri İran Natanz`da bulunan İran`ın nükleer zenginleştirme tesislerinde kullandığı programlanabilir akıllı kontrolörlere (PLC – Programmable Logic Controller/Programlanabilir Akıllı Kontrolör) yapılan saldırıdır. Bu saldırıda Stuxnet olarak bilinen ve asıl hedefi İran`ın nükleer tesisleri olan ve o günden beri sürekli yenilenerek otaya çıkıp başka endürstri ve enerji tesislerine yayılan bilgisayar solucanı kullanılmıştır.
Stuxnet, bomba etkisi yaratabilen Uranyum-235 izotopunu Uranyum-238 izotopundan ayıran santrifüjleri çalıştıran makinenin kontrolünü bu saldırı ile ele geçirdi. Hassas ve fark edilmeyecek bir şekilde bu santrifüjlerin yaklaşık bin tanesinin dönmesini desenkronize ederek durmalarına, çarpmalarına ve kendi kendilerini yok etmelerine neden oldu. Bu da uzmanlara göre Natanz tesisinin geçici olarak durdurulmasına neden oldu ve İran`ın yeteri kadar U-235 elde ederek bir nükleer silaha sahip olmasını yıllarca erteledi.
Multi-part (çok parçalı) olan Stuxnet, USB cihazı ile Windows işletim sistemine sızıp yayılan bir solucandı. Sızdığı networkte Siemens PLClerinin kurulu bulunduğu bilgisayarları bulduktan sonra internet üzerinden kendi kodunu yenileyip bilgisayarın kontrol ettiği elektro-mekanik parçalarını bozacak komutlar göndermeye başlamıştır. Aynı zamanda ana kontrolörlere de false feedback (yanlış geri dönüt) göndermiştir ki bozulan bu parçaları izleyen kişiler sistemdeki bu hataları bu parçalar kendi kendini yok edinceye kadar görmesin.
Bir diğer önemli SCADA saldırı ise BlackEnergy 3`tür (BE3). Bilindiği üzere Rusya ile Ukrayna arasında Kırım`ın statüsü hakkında 2014 yılında çatışmalar çıkmıştır. Konunun silahlı çatışma tarafını konunun uzmanlarına bırakarak ICS/SCADA üzerinden yapılan oldukça sofistike görünen bir saldırıyı inceleyelim.
Ukrayna`nın belirli bölgeleri, 2015`te karanlığa mahkûm olmuş ve buna sebep olarak zararlı bir yazılım olan BlackEnrgy 3 gösterilmiştir. BlackEnergy`nin ilk varyantı olan BE1, DDoS attaklar yapmak için kullanılan botnetler oluşturmak üzere bir suç aracı olarak yazılmış ve Rusya siber (suç) piyasasında 2007`de satılmaya başlanmıştır.
İkinci varyant BE2 ise 2008`de BE1`e koruyucu bir katman, çekirdek-mod rootkit ve modüler bir mimari kazandırılarak yeniden yazılmıştır. (Rootkit, siber suçlular tarafından bir hedef bilgisayar veya ağ üzerinde kontrolü ele geçirmek için kullanılan yazılımlardır.) BE3 ise BE2`nin daha gelişmiş varyantı olan çekirdek-mod yazılımı olmayan bir zaralı yazılımdır.
Saldırganlar BE3`ü bir silah, Microsoft Office 2013`teki CVE-2014-4114`ü ise bir zafiyet olarak kullanmıştı. Aynı zafiyet Microsoft tarafından MS14-060 olarak adlandırıldı. Microsoft bu zafiyeti tanımlarken şöyle diyor: “Bu güvenlik açığından başarıyla yararlanan bir saldırgan, o anki kullanıcı olarak rasgele kod çalıştırabilir. O anki kullanıcı eğer sisteme yönetici olarak giriş yapmışsa, bu demek oluyor ki saldırgan, sistem üzerinde program kurma, veri görüntüleme, değiştirme ya da silme işlemi gerçekleştirebilir veya tüm kullanıcı haklarına sahip yeni hesaplar oluşturabilir.” Bu durum, bilişim teknolojileri bakımından sistemin yöneticisinin artık sistemin legal yöneticisi olmadığı anlamına geliyor.
Ukrayna`nın elektrik dağıtım merkezlerini hedef alan bu saldırı 225 bin civarında Ukrayna vatandaşının elektriksiz kalmasına neden olmuştu. Saldırı hakkında ileri sürülen iddialarda, saldırganların 2015`in baharında Ukrayna`daki farklı elektrik dağıtım şirketlerinin bilişim teknolojileri bölümü yöneticilerine spear phishing (bir organizasyonun belirli bir departmanındaki çalışanlarını balık avında kullanılan yemleme taktiği ile yemleme) yaparak zararlı e-maillerini gönderdiler. Çalışanlar bu e-maillerin içinde bulunan ekleri açmak istediklerinde ekranlarında “Dokümanı açmak için macroları etkinleştirin” uyarısını aldılar. Çalışanların makroları etkinleştirmesi BE3`un bilgisayarı enfekte etmesine yol açtı ve saldırganlar için bilgisayarlarda bir arka kapı oluşturdu. Bu da demek oluyordu ki saldırgan artık istediğinde enfekte olmuş bilgisayarlara bağlanabilecek. Saldırganlar ilk başlarda istediklerini alamasalar da sistemde keşif yaparak en sonunda ağ hesaplarının yönetildiği kullanıcı hesaplarını (Windows Domain Controller) ele geçirdiler.
Burayı ele geçirdikten sonra çalışanların kullanıcı bilgilerini -ki bunlar sistem çalışanlarının SCADA ağını uzaktan yönetmek için kullandıkları VPN bilgileridir- ele geçirdiler. Saldırganlar o kadar zekiydiler ve her şeyi düşünmüşlerdi ki, müşteri hizmetlerine bile DDoS atağı yaparak müşterilerin merkezi arayıp elektrik kesintisi ile alakalı şikâyette bulunmalarını engellemişlerdi.
Yukarıda bahsettiğimiz iki olayın faillerine bir yaptırım yapılıp yapılmadığını bilmiyoruz, ama her iki olay da meydana geldikleri ülkelerde ciddi sıkıntılara sebep olmuştur.
