世界上首个网络超级武器

《世界上首个网络超级武器》由会员分享，可在线阅读，更多相关《世界上首个网络超级武器（6页珍藏版）》请在金锄头文库上搜索。

1、世界上首个网络超级武器世界上首个网络超级武器一个席卷全球工业界的病毒一个席卷全球工业界的病毒震网病毒又名 Stuxnet 病毒，是一个席卷全球工业界的病毒，世界上首个 网络“超级武器”，一种名为 Stuxnet 的计算机病毒已经感染了全球超过 45000 个网络，伊朗遭到的攻击最为严重，60%的个人电脑感染了这种病毒。 震网病毒，瑞星公司监测到一个席卷全球工业界的病毒已经入侵中国，这 种名为 Stuxnet 的蠕虫病毒已经造成伊朗核电站推迟发电，目前国内已有近 500 万网民、及多个行业的领军企业遭此病毒攻击。瑞星反病毒专家警告说， 我们许多大型重要企业在安全制度上存在缺失，可能促进 Stux

2、net 病毒在企业 中的大规模传播。 这种病毒可能是新时期电子战争中的一种武器。震网病毒， 于 2010 年发现，截止 2011 年，感染了全球超过 45000 个网络，伊朗遭到的攻 击最为严重，60%的个人电脑感染了这种病毒。2013 年 3 月，中国解放军报报 道，美国曾利用“震网”蠕虫病毒攻击伊朗的铀浓缩设备。 震网（Stuxnet），指一种蠕虫病毒。它的高级程度远超一般电脑黑客的能 力。“震网”病毒利用了微软视窗操作系统之前未被发现的 4 个漏洞。通常意 义上的犯罪性黑客会利用这些漏洞盗取银行和信用卡信息来获取非法收入。而 “震网”病毒不像一些恶意软件那样可以赚钱，它需要花钱研制。这是

3、专家们 相信“震网”病毒出自情报部门的一个原因。 震网 微软公司的研究发现，“震网”感染的重灾区集中在伊朗境内。美国和以 色列因此被怀疑是“震网”的发明人。 2012 年 6 月 1 日的美国纽约时报报道，揭露“震网”病毒起源于 2006 年前后由美国前总统小布什启动的“奥运会计划”。2008 年，奥巴马上任后下 令加速该计划。 2010 年，因美方操作失误，原本用于攻击伊朗核设施的“震网”病毒，扩 散到互联网上，伊朗、印度尼西亚和印度等国部分电脑用户受到攻击，一些工 业系统的安全也受到威胁。 2010 年 6 月，“震网”病毒首次被发现，它被称为有史以来最复杂的网络 武器，因为它悄然袭击伊朗

4、核设施的手法极其阴险。2010 年 12 月 15 日，一位德国计算机高级顾问表示，“震网”计算机病毒 令德黑兰的核计划拖后了两年。这个恶意软件 2010 年一再以伊朗核设施为目标，通过渗透进“视窗”操作系统，并对其进行重新编程而造成破坏。据全球最大网络保安公司 Symantec 初步研究，近 60%的感染发生在伊朗， 其次为印尼(约 20%)和印度(约 10%)， 阿塞拜疆、美国与巴基斯坦等地亦有小 量个案。这种新病毒采取了多种先进技术，因此具有极强的隐身和破坏力。只 要电脑操作员将被病毒感染的 U 盘插入 USB 接口，这种病毒就会在神不知鬼不 觉的情况下(不会有任何其他操作要求或者提示出

5、现)取得一些工业用电脑系统 的控制权。 2011 年 1 月 26 日，俄罗斯常驻北约代表罗戈津表示，这种病毒可能给伊 朗布什尔核电站造成严重影响，导致有毒的放射性物质泄漏，其危害将不亚于 1986 年发生的切尔诺贝利核电站事故。 1、与传统的电脑病毒相比，“震网”病毒不会通过窃取个人隐私信息牟利。震网 2、由于它的打击对象是全球各地的重要目标，因此被一些专家定性为全球 首个投入实战舞台的“网络武器”。 3、无需借助网络连接进行传播。 计算机安全专家在对软件进行反编译后发现，“震网”病毒结构非常复杂， 因此它应该是一个“受国家资助高级团队研发的结晶”。这种病毒可以破坏世 界各国的化工、发电和电

6、力传输企业所使用的核心生产控制电脑软件，并且代 替其对工厂其他电脑“发号施令”。 4、极具毒性和破坏力。“震网”代码非常精密，主要有两个功能，一是使 伊朗的离心机运行失控，二是掩盖发生故障的情况，“谎报军情”，以“正常 运转”记录回传给管理部门，造成决策的误判。在去年的攻击中，伊朗纳坦兹 铀浓缩基地至少有 1/5 的离心机因感染该病毒而被迫关闭。5，“震网”定向明确，具有精确制导的“网络导弹”能力。它是专门针对 工业控制系统编写的恶意病毒，能够利用 Windows 系统和西门子 SIMATICWinCC 系统的多个漏洞进行攻击，不再以刺探情报为己任，而是能根据指令，定向破 坏伊朗离心机等要害目

7、标。6，“震网”采取了多种先进技术，具有极强的隐身性。 它打击的对象是西门子公司的 SIMATICWinCC 监控与数据采集 （SCADA）系 统。尽管这些系统都是独立与网络而自成体系运行，也即“离线”操作的，但 只要操作员将被病毒感染的 U 盘插入该系统 USB 接口，这种病毒就会在神不知 鬼不觉的情况下 （不会有任何其他操作要求或者提示出现）取得该系统的控制 权。7，“震网”病毒结构非常复杂，计算机安全专家在对软件进行反编译后发现，它不可能是黑客所为，应该是一个“受国家资助的高级团队研发的结晶”。 美国纽约时报称，美国和以色列情报机构合作制造出“震网”病毒。 1、日前世界上首个网络“超级武

8、器”，一种名为 Stuxnet 的计算机病毒已 经感染了全球超过 45000 个网络，伊朗遭到的攻击最为严重，60%的个人电脑 感染了这种病毒。计算机安防专家认为，该病毒是有史以来最高端的“蠕虫” 病毒，其目的可能是要攻击伊朗的布什尔核电站。布什尔核电站目前正在装备 核燃料，按照计划，它本应在 2010 年 8 月开始运行。 震网传播 2、蠕虫是一种典型的计算机病毒，它能自我复制，并将副本通过网络传输， 任何一台个人电脑只要和染毒电脑相连，就会被感染。这种 Stuxnet 病毒于 2010 年 6 月首次被检测出来，是第一个专门攻击真实世界中基础设施的“蠕虫” 病毒，比如发电站和水厂。目前互联

9、网安全专家对此表示担心。 工业系统安全将面临严峻挑战工业系统安全将面临严峻挑战 在我国，WinCC 已被广泛应用于很多重要行业，一旦受到攻击，可能造成 相关企业的设施运行异常，甚至造成商业资料失窃、停工停产等严重事故。 对于 Stuxnet 蠕虫的出现，我们并未感到十分意外。早在去年，安天就接 受用户委托，对化工行业仪表的安全性展开过研究，情况不容乐观。 工业控制网络，包括工业以太网，以及现场总线控制系统早已在工业企业 中应用多年，目前在电力、钢铁、化工等大型重化工业企业中，工业以太网、 DCS（集散控制系统）、现场总线等技术早已渗透到控制系统的方方面面。工业 控制网络的核心现在都是工控 PC

10、，大多数同样基于 Windows-Intel 平台，工业 以太网与民用以太网在技术上并无本质差异，现场总线技术更是将单片机/嵌入 式系统应用到了每一个控制仪表上。工业控制网络除了可能遭到与攻击民用/商 用网络手段相同的攻击，例如通过局域网传播的恶意代码之外，还可能遭到针 对现场总线的专门攻击，不可轻视。 针对民用/商用计算机和网络的攻击，目前多以获取经济利益为主要目标， 但针对工业控制网络和现场总线的攻击，可能破坏企业重要装置和设备的正常 测控，由此引起的后果可能是灾难性的。以化工行业为例，针对工业控制网络 的攻击可能破坏反应器的正常温度/压力测控，导致反应器超温/超压，最终就 会导致冲料、起

11、火甚至爆炸等灾难性事故，还可能造成次生灾害和人道主义灾 难。因此，这种袭击工业网络的恶意代码一般带有信息武器的性质，目标是对 重要工业企业的正常生产进行干扰甚至严重破坏，其背景一般不是个人或者普 通地下黑客组织。 目前，工业以太网和现场总线标准均为公开标准，熟悉工控系统的程序员 开发针对性的恶意攻击代码并不存在很高的技术门槛。因此，对下列可能的工 业网络安全薄弱点进行增强和防护是十分必要的：1、基于 Windows-Intel 平台的工控 PC 和工业以太网，可能遭到与攻击民 用/商用 PC 和网络手段相同的攻击，例如通过 U 盘传播恶意代码和网络蠕虫， 这次的 Stuxnet 病毒就是一个典

12、型的例子。 2、DCS 和现场总线控制系统中的组态软件（测控软件的核心），目前其产 品，特别是行业产品被少数公司所垄断，例如电力行业常用的西门子 SIMATIC WinCC，石化行业常用的浙大中控等。针对组态软件的攻击会从根本上破坏测控 体系，Stuxnet 病毒的攻击目标正是 WinCC 系统。 3、基于 RS-485 总线以及光纤物理层的现场总线，例如 PROFIBUS 和 MODBUS（串行链路协议），其安全性相对较好；但短程无线网络，特别是不使 用 Zigbee 等通用短程无线协议（有一定的安全性），而使用自定义专用协议的 短程无线通信测控仪表，安全性较差。特别是国内一些小企业生产的“

13、无线传 感器”等测控仪表，其无线通信部分采用通用 2.4GHz 短程无线通信芯片，连基 本的加密通信都没有使用，可以说毫无安全性可言，极易遭到窃听和攻击，如 果使用，将成为现场总线中极易被攻击的薄弱点。 工业控制网络通常是独立网络，相对民用/商用网络而言，数据传输量相对较少， 但对其实时性和可靠性的要求却很高，因而出现问题的后果相当严重。 传统工业网络的安全相对信息网络来说，一直是凭借内网隔离，而疏于防范。 因此，针对工业系统的安全检查和防范加固迫在眉睫。 展望和思考展望和思考 在传统工业与信息技术的融合不断加深、传统工业体系的安全核心从物理 安全向信息安全转移的趋势和背景下，此次 Stuxn

14、et 蠕虫攻击事件尤为值得我 们进一步思考。 这是一次极为不同寻常的攻击，其具体体现是： 传统的恶意代码追求影响范围的广泛性，而这次攻击极富目的性； 传统的攻击大都利用通用软件的漏洞，而这次攻击则完全针对行业专用软 件； 这次攻击使用了多个全新的零日漏洞进行全方位攻击，这是传统攻击难以 企及的； 这次攻击通过恰当的漏洞顺利渗透到内部专用网络中，这也正是传统攻击 的弱项； 从时间、技术、手段、目的、攻击行为等多方面来看，完全可以认为发起 此次攻击的不是一般的攻击者或组织。 因此，这次攻击中所采用的多个新漏洞和传播手段，将在接下来很长一段 时间内给新的攻击提供最直接的动力。而更大的影响是，事件中显

15、露出来的攻 击思路和攻击视野会带来长久的示范效应。它给攻击者、安全研究人员、企业 管理者带来的更多是一种安全观念和安全意识上的冲击。一些传统的认识已经 略显陈旧，谁能在这一次观念和意识赛跑中认识得更清、看得更远，谁就能在 未来一段时间内保持优势。 至少有以下两种新的攻击趋势值得特别关注： 1、针对行业专用软件的漏洞挖掘和攻击，特别是上升到国家战略层面的关 键行业和敏感行业。安天实验室在今年年初发布的多家企业网络入侵事件传 言的同源木马样本分析报告中就明确指出：“目前的漏洞分析挖掘的注意点 已经不集中于主流厂商，而开始普遍扩散”。另一方面，这些攻击虽然针对软件，但并不一定是利用软件本身的缺陷，安

16、全是一个全方位的问题，攻击可能 来自于任何一个角度。 2、针对企业内部网络，特别是物理隔离的内部专用网络的攻击。这类网络 具有较高的安全要求，也更具攻击价值。一般通过 U 盘等可移动存储设备渗入 这类网络的方法是感染式病毒、欺骗、自动播放（Autorun.inf）等。本次出现 的快捷方式文件解析漏洞，为此类攻击提供了一种更有效的方法。此外，这种 内部网络也将因为本次事件而被攻击者关注和研究，不能排除出现新的攻击方 式的可能。 基于上述认识，建议有关部门和企业以此次攻击事件为鉴，进一步加强信 息网络和计算机设备的安全管理、制定完善的安全管理方案、形成合理的安全 策略、提高安全意识，与安全厂商一同构建坚实的防线，抵御安全威胁。 作为安全厂商，安天呼吁各兄弟厂商一起共建良好的行业环境，不断促进 安全技术的良性发展。同时，安天也期盼公众和用户能够对信息安全给予更多 的关注。安天坚信保障公众和社会的安全是一家安全厂商义不容辞的使命，但 在现阶段仅靠厂商的力量尚不足以解决目前的所有问题。只有各方齐心协力， 才能迎来一个更加美好的世界。 专家称其高端性显示攻击应为国家行为