《震网病毒起源》由会员分享,可在线阅读,更多相关《震网病毒起源(8页珍藏版)》请在金锄头文库上搜索。
1、骇客交锋背后看不见的交锋:解密中美伊以新型国家网战2014年11月,以索尼影像公司遭到黑客攻击为导火索,美国、朝鲜两国在网络 上交相攻伐(详见钛媒体文章: 黑客攻击”也能当借口,奥巴马签署 行政命 令追加对朝鲜制裁),引发某些媒体惊呼道:下一场战争,将是网络战争? ”钛媒体科技作者 灯下黑客”告诉我们,不仅仅是下一场战争,实际上,上 一场 战争已经是网络战争,国家间的网络战早已拉开帷幕网络战争时代开始于2006年,主角正是震网病毒。 它在什么背景下被研发出来 的?执行了怎样的命令?达到了怎样的效果?对今天的我们有怎样的启示?有 意思的是,作 为第一件经过实战检验的病毒武器,震网病毒正式开启了网
2、络战 争时代的大门。而因为网战的隐蔽性,大众往往都是看不见的,唯一产生的看 得见的成果,却是艺术 界受此影响和传导作用产生的一系列艺术作品,例如 2015年1月16日,北美开始上映一部新片:骇客交锋( Blackhat)。钛媒 体作者灯下黑客将这场大战的背后故事一一解答:2014年11月,索尼影像公司遭到黑客攻击,电脑网络全部瘫痪,职工一度只能 靠纸笔办公,仿佛回到三十年前。黑客泄露了大批公司机密,并且要求取消上映刺杀金正恩(Thel nterview)片,否则将发动更多袭击。此举被美国政府定性为恐怖威胁,认为它意在破坏美国的言论自由。根据网络攻 击的痕迹,美国还揭露出此番攻击的幕后主使,正是
3、金正恩领导下的朝鲜政府。12月底,朝鲜也受到网络攻击,全国范围内的网络也都无法使用,怀疑是遭到 了美国的报复。美朝两国在网络上交相攻伐,引发某些媒体惊呼道:下一场战争,将是网络战争? “答案是明显的:不仅仅是下一场战争,实际上,上一场战争已经是网络战争。震网病毒是什么?2006至2010年,著名的震网病毒曾经入侵伊朗核工厂长达五年之久,严重破坏 了伊朗核计划。那次入侵的战场只在网络之间,武器也只是软件程序,但它却完 全符合最严格的战争定义:它发生于国家之间,它针对军事设施和人员,它企 图达到某种政治目。因此,震网病毒被认为是人类第一场网络战争,我们早在 2006年就已进入网络战争的时代。这场战
4、争发端于2006年。这一年,伊朗违背先前签订的协议,重启核计划,在 纳坦兹核工厂安装大批离心机,进行浓缩铀的生产,为进一步制造核武器准备原 料。应 该说,伊朗人选择的时机很不错。国际社会想要迫使一个国家放弃核计划, 无非两种方法:经济制裁,或军事打击。制裁对于伊朗这种孤立国家而言,产生 的边界效应非常有限,伊朗人早已习惯了制裁。军事打击则几乎不可能,当时 美国深陷阿富汗和伊拉克两大泥潭,无力再发动第三场战争。形势发展果然不出伊朗所料,美国发出了战争威胁,联合国也通过了决议,加强 经济制裁。但都是雷声大,雨点小,最终仗也没打起来,制裁措施也没什么大不 了,伊朗完全应付得了。最终,伊朗没付出多大代
5、价,就成功重启了核计划。但大大出乎伊朗意料的是,核工厂的运行极不稳定,离心机的故障率居高不下, 核武器所急需的浓缩铀迟迟生产不出来。 技术人员反复检查,却找不出任何故障 原因。离心机出厂时明明是质量合格,一旦投入运行,却马上就会磨损破坏。伊朗的核技术是从巴基斯坦买来的, 而巴基斯坦的核技术是从法国偷来的, 但不 管是法国还是巴基斯坦,都没发生过那么高的离心机故障率。伊朗人实在弄不清 出了什么问题。上 图为伊朗总统网站(www.president.ir)所发布的图片,2008年4月8日,内 贾德总统视察纳坦兹核工厂。这张图不经意地泄露了核工厂的问题,左下方的屏幕所显示的那群绿点,每一个点都代表一
6、台离心机,绿色代表运行正常,绿色 丛中的两个灰色小点,则说明有两台离心机出了故障。当伊朗核工厂在跌跌撞撞中挣扎的同时,信息安全界发现了另一件看似不相关的 事件。2010年6月,白俄罗斯的一家安全公司 VirusBlokAda受邀为一些伊朗客 户检查系统,调查他们电脑的死机和重启问题。技术人员在客户电脑中发现了一 种新的蠕虫病毒。根据病毒代码中出现的特征字“stux,新病毒被命名为 震网病毒(stuxnet)”,并加入到公共病毒库,公布给业界人士研究。起初,研究人员以为,这不过是千万种流行病毒中的一种。 世界上每天都有新病 毒产生,大部分都是青少年的恶作剧,少部分则是犯罪分子用来盗取个人信息的
7、工具,震网病毒也许只是其中之一。但进一步的深入研究却让他们瞠口结舌: 震 网的复杂度远远出乎人们的意料,它是当时所发现的最精妙、最复杂的病毒, 没有之一。首先,它利用了 4个Windows零日漏洞。零日漏洞是指软件中刚刚被发现、还 没有被公开或者没有被修补的漏洞。零日漏洞可以大大提高电脑入侵的成功率, 具有巨大的经济价值,在黑市上,一个零日漏洞通常可以卖到几十万美元。即使是犯罪集团的职业黑客,也不会奢侈到在一个病毒中同时用上4个零日漏洞。仅此一点,就可以看出该病毒的开发者不是一般黑客,它具备强大的经济实力。 并且,开发者对于攻击目标怀有志在必得的决心,因此才会同时用上多个零日漏 洞,确保一击得
8、手。其次,它具备超强的USB传播能力。传统病毒主要是通过网络传播,而震网病 毒大大增强了通过USB接口传播的能力,它会自动感染任何接入的 U盘。在病 毒开发者眼中,似乎病毒的传播环境不是真正的互联网, 而是一个网络连接受到 限制的地方,因此需要靠USB 口来扩充传播途径。最奇怪的是,病毒中居然还含有两个针对西门子工控软件漏洞的攻击,这在当 时的病毒中是绝无仅有的。从互联网的角度来看,工业控制是一种恐龙式的技术, 古老的通信方式、隔绝的网络连接、庞大的系统规模、缓慢的技术变革,这些都 让工控系统看上去跟互联网截然不同。此前从没人想过,在互联网上泛滥的病毒, 也可以应用到工业系统中去。因为震网病毒
9、,伊朗核计划至少推迟了两年多震网病毒引起了信息安全界的极大兴趣, 随着更多专家投入到对它的分析,它的 面纱渐渐揭开一一它跟以往流行的病毒完全不一样,这是世界上第一例针对工控 系统的病毒!说得再精准一点,它是专门针对伊朗纳坦兹核工厂量身定做的病毒武器。举个例子。研究人员在病毒代码中发现一个数组,用以描述离心机的级联方式, 数组的最后几位是:20,24, 20,16,12,8, 4。把上面那张总统视察图的左下角放大, 可以看到在图片最下方,红色箭头所指的 位置有一排灰色小柱子。这些小柱子把上面的绿色小点分为若干块,从右往左数, 每块含有的列数分别是1,2,3,4,5,6,5。每列包含有4个离心机,
10、因此, 从这张图可以看出,纳坦兹核工厂的离心机级联方式,从左往右正是 20,24, 20,16,12, 8, 4,与震网病毒的描述完全相同!由此可见,震网是有备而来。其开发团队里不仅有软件和网络专家, 还有工业控 制和核武器的专家,并且通过某种秘密途径,他们还事先掌握了纳坦兹的设计图 纸。它背后的力量绝不是一般网络犯罪组织可以比拟的。震网病毒的攻击方式也非常狡猾。当它渗透进入核工厂,它本可以制造一起轻易 的工业灾难,一举摧毁整个工厂。但它却没有马上发作,而是悄悄地潜伏下来, 每隔一个月才攻击一次。攻击期间,它会首先修改西门子工控系统的数据, 让离 心机看上去运转正常。但背地里,它却大幅提高离心
11、机的转速,迫使其在临界速 度以上运转,从而迅速毁坏一台离心机。这 时候,如果走到那台遭受攻击的离心机旁边, 会听到机器转动声的明显异常, 它的声音频率比正常状态要高得多。 但工厂内有几百台离心机在同时运行, 巨大 的背景 噪声往往会掩盖单台离心机的问题,不仔细听根本注意不到。更何况由 于背景噪声太大,工程师都是带着耳罩进入车间,根本无法辨别那点细小的差别。 他们一般还是从控制系统的屏幕上监控工厂状态,而震网病毒早已控制了监控 系统,呈现给操作人员的,是一切正常的运行状态。这是一种更加高明的战术,它使得伊朗人疲于奔命。崭新的离心机装进工厂,没 用多久便告损坏,日常的生产工作变成了不停地更换离心机
12、, 纳坦兹核工厂始终 无法形成稳定的浓缩铀生产能力。 伊朗人更换了数批工程师,却一直找不到问题 原因,震网病毒的隐蔽性太强(即使是今天,震网病毒已经暴露了数年之后, 最新的Windows仍然会把它当作合法程序),他们从没发现工厂早已被病毒入 侵,仍然一味地认定是离心机的质量问题,白白损失了几年时光。研究人员认为,由于震网病毒,伊朗核计划至少推迟了两年多。这种新型战争方式的诞生过程伊 朗到底是什么时候才发现中毒的,外界不得而知。2010年,震网病毒公布后, 引起了信息安全界的轰动,经过许多专家的深入研究,它针对纳坦兹核工厂的攻 击 意图已经被揭露成了司马昭之心。但即便如此,伊朗仍然矢口否认核工厂
13、遭 到了攻击。当然,伊朗到底是真的认为自己的工厂固若汤金, 还是出于某种宣传 策略而拒不承认,外界同样也不得而知了。受害一方不肯承认,作案一方同样也没人出来领功。开发像震网这样一款高度复 杂的病毒,对资金、人才、情报、组织等各方面都有极高的要求,再加上其独特 的攻击目标设定,世界上有这种能力和动机的,只有美国或以色列政府。但美国 和以色列并不承认自己与此有关,从病毒代码中也找不出什么证据能牵涉到美以两国,外界也只能停留在猜测而已。震网病毒如同一件孤独的凶器,不知道谁制 造了它,也不知道它杀害过谁,外界只能从那锋利的刀刃推测它可怕的战斗力。直到2012年,伊朗核问题波澜已定,一些美国退休官员才向
14、纽约时报透露, 针对伊朗核工厂的攻击,是由布什总统发起的、经过奥巴马总统大力推动的、 一场精心策划的网络战争。Evolution of Stuxnet versionsVersionDateDescription1 0.500November 3, 2005C&C server registration0.500November 15* 2007Submitto a public scanning service| 0.500July 4, 2009Infection stop date| 1,001June 21,2009Main binary compile timestamp1 1J0O
15、March 1,2010Main binary compile Umeslamp1401April 14,2010Main binary compile timestampInfection stop date(震网病毒版本,它跨越两位总统任期,经过了七年的持续开发和改进)2006年伊朗重启核计划时,形势正如伊朗所料,美国的选择并不多。美军已经 占领了伊拉克,却迟迟找不到传说中的大规模杀伤性武器, 布什总统在国内国际 政治上都处于被动局面,没有足够的政治能量再次以消灭核武器之名发动一场 伊朗战争。但如果不解决伊朗核问题,又无法对以色列交待,因为伊朗一旦拥有 核武器,首当其冲 的使用目标必定是以
16、色列,以色列感受到极大的威胁。以色 列一再表态,要像1981年空袭伊拉克核反应堆一样,也对纳坦兹核工厂来一场 外科手术式的打击,将 伊朗核计划消灭在萌芽状态。如果任由以色列空袭伊朗, 这无疑又将搅乱中东局势,使地区纷争进一步升级,当地的反美情绪也会更加狂 热化。因此,当时的美国夹 在以色列和伊朗之间左右为难。万般无奈之下,布什总统接受了中央情报局的一个建议, 向纳坦兹核工厂传播一 点病毒。其初始目的,不过是给伊朗人制造一点麻烦,迟滞其核武器的制造进 程,争取多一点时间,等到形势变得有利时再着手解决伊朗核问题。为了安抚以色列,中央情报局拉上以色列情报部门一块儿干, 以期把他们的注意 力从空袭转向病毒。没想到,以色列态度很积极,还通过自己的间谍组织献上一
