外观
震网
2021-09-27
震网(Stuxnet),又称作超级工厂,是一种 Windows 平台上的计算机蠕虫。 作为世界上首个网络“超级破坏性武器”,Stuxnet 的计算机病毒已经感染了全球超过 45000 个网络,伊朗遭到的攻击最为严重,60%的个人电脑感染了这种病毒。 它是首个针对工业控制系统的蠕虫病毒,利用西门子公司控制系统(SIMATIC WinCC/Step7)存在的漏洞感染数据采集与监控系统(SCADA),能向可编程逻辑控制器(PLC)写入代码并将代码隐藏。 这是有史以来第一个包含 PLC Rootkit 的电脑蠕虫,也是已知的第一个以关键工业基础设施为目标的蠕虫。此外,该蠕虫的可能目标为伊朗使用西门子控制系统的高价值基础设施。据报道,该蠕虫病毒可能已感染并破坏了伊朗纳坦兹的核设施,并最终使伊朗的布什尔核电站推迟启动。不过西门子公司表示,该蠕虫事实上并没有造成任何损害。 赛门铁克安全响应中心高级主任凯文·霍根(Kevin Hogan)指出,在伊朗约 60%的个人电脑被感染,这意味着其目标是当地的工业基础设施。俄罗斯安全公司卡巴斯基实验室发布了一个声明,认为 Stuxnet 蠕虫“是一种十分有效并且可怕的网络武器原型,这种网络武器将导致世界上新的军备竞赛,一场网络军备竞赛时代的到来。”并认为“除非有国家和政府的支持和协助,否则很难发动如此规模的攻击。”伊朗成为了真实网络战的第一个目标。
历史
2010 年 6 月,“震网”病毒首次被安全公司 VirusBlokAda 发现,其根源可追溯到 2009 年 6 月。Stuxnet 蠕虫的最终编译时间约为 2010 年 2 月 3 日。 2010 年 9 月,瑞星公司监测到这个席卷全球工业界的病毒已经入侵中国。瑞星反病毒专家警告说,我国许多大型重要企业在安全制度上存在缺失,可能促进 Stuxnet 病毒在企业中的大规模传播。 2010 年 12 月 15 日,一位德国计算机高级顾问表示,“震网”计算机病毒令德黑兰的核计划拖后了两年。这个恶意软件 2010 年一再以伊朗核设施为目标,通过渗透进“视窗”(Windows)操作系统,并对其进行重新编程而造成破坏。 2011 年 1 月 26 日,俄罗斯常驻北约代表罗戈津表示,这种病毒可能给伊朗布什尔核电站造成严重影响,导致有毒的放射性物质泄漏,其危害将不亚于 1986 年发生的切尔诺贝利核电站事故。 2012 年 6 月 1 日,《纽约时报》报道,揭露“震网”病毒起源于 2006 年前后由美国前总统小布什启动的“奥运会计划”,由美国国家安全局在以色列协助下研发,目的在于阻止伊朗发展核武。2008 年,奥巴马上任后下令加速该计划。 2013 年 3 月,中国解放军报报道,美国曾利用“震网”蠕虫病毒攻击伊朗的铀浓缩设备,已经造成伊朗核电站推迟发电,目前国内已有近 500 万网民、及多个行业的领军企业遭此病毒攻击。 这种病毒可能是新时期电子战争中的一种武器。震网病毒,截止 2011 年,感染了全球超过 45000 个网络,60%的个人电脑感染了这种病毒。
特点
与传统的电脑病毒相比,“震网”病毒不会通过窃取个人隐私信息牟利。由于它的打击对象是全球各地的重要目标,因此被一些专家定性为全球首个投入实战舞台的“网络武器”。Stuxnet 无需借助网络连接进行传播。这种病毒可以破坏世界各国的化工、发电和电力传输企业所使用的核心生产控制电脑软件,并且代替其对工厂其他电脑“发号施令”。 Stuxnet 同时利用微软和西门子公司产品的 7 个最新漏洞进行攻击。这 7 个漏洞中,MS08-067、MS10-046、MS10-061、MS10-073、MS10-092 等 5 个针对 Windows 系统(其中 MS10-046、MS10-061、MS10-073、MS10-092 四个属于 0day 漏洞),2 个针对西门子 SIMATIC WinCC 系统。
- 极具毒性和破坏力 “震网”代码非常精密,主要有两个功能,一是使伊朗的离心机运行失控,二是掩盖发生故障的情况,“谎报军情”,以“正常运转”记录回传给管理部门,造成决策的误判。在 2011 年 2 月的攻击中,伊朗纳坦兹铀浓缩基地至少有 1/5 的离心机因感染该病毒而被迫关闭。
- 定向明确,具有精确制导的“网络导弹”能力 它是专门针对工业控制系统编写的恶意病毒,能够利用 Windows 系统和西门子 SIMATICWinCC 系统的多个漏洞进行攻击,不再以刺探情报为己任,而是能根据指令,定向破坏伊朗离心机等要害目标。
- 采用了多种先进技术,具有极强的隐身性 它打击的对象是西门子公司的 SIMATICWinCC 监控与数据采集 (SCADA)系统。一旦进入系统,它将尝试使用默认密码来控制软件。但是,西门子公司不建议更改默认密码,因为这“可能会影响工厂运作。”尽管这些系统都是独立与网络而自成体系运行,也即“离线”操作的,但只要操作员将被病毒感染的 U 盘插入该系统 USB 接口,这种病毒就会在神不知鬼不觉的情况下 (不会有任何其他操作要求或者提示出现)取得该系统的控制权。
- 结构非常复杂 病毒编写者需要对工业生产过程和工业基础设施十分了解。病毒利用的 Windows 零日漏洞数量也不同寻常,因为 Windows 零日漏洞的价值,黑客通常不会浪费到让一个蠕虫同时利用四个漏洞。Stuxnet 的体积较大,大约有 500KB,并使用了数种编程语言(包括 C 语言和 C++),通常恶意软件不会这样做。Stuxnet 还通过伪装成 Realtek 与 JMicron 两家公司的数字签名,以绕过安全产品的检测并在短期内不被发现,同时有能力通过 P2P 传播。这些功能将需要一个团队,以及检查恶意软件不会使 PLC 崩溃。在西门子系统维护和故障排除方面拥有多年的经验的埃里克·拜尔斯(Eric Byres)告诉《连线》,编写这些代码需要很多人工作几个月,甚至几年。这样大费周章的设计,也是该软件被怀疑有军事背景的因素。
移除
西门子公司已经发布了一个 Stuxnet 的检测和清除工具。西门子建议检测到感染的客户联系客户支持,并建议客户安装微软的漏洞补丁并禁用第三方 USB 设备。 该蠕虫病毒可重新编程外部可编程逻辑控制器(PLC)的能力使得移除过程变得更为复杂。赛门铁克的 Liam O'Murchu 警告说,仅修复 Windows 系统可能无法完全解决感染问题,他建议全面检查 PLC。此外据推测,错误地移除该蠕虫可导致大量损失。
受影响的国家
赛门铁克的研究表明,截至 2010 年 8 月 6 日,受影响的国家主要有:
| 国家 | 受感染电脑比例 |
|---|---|
| 伊朗 | 58.85% |
| 印度尼西亚 | 18.22% |
| 印度 | 8.31% |
| 阿塞拜疆共和国 | 2.57% |
| 美国 | 1.56% |
| 巴基斯坦 | 1.28% |
| 其他国家 | 9.2% |
| 据报道,在 Stuxnet 袭击之后,伊朗“增强了”其网络战能力,并被怀疑对美国银行进行了报复性袭击。 |