2010年,震網病毒被發現,引起世界嘩然,在后續的10年間,陸陸續續有更多關于該病毒的背景和細節曝光。今年,《以色列時報》和《荷蘭日報》又披露了關于此事件的更多信息,基于這些信息,我們重新梳理了震網病毒的來龍去脈。
伊朗自從上世紀50年代開始便有意開展核計劃,但直到本世紀初才在濃縮鈾生產有所突破,這得益于巴基斯坦核武器之父阿卜杜勒·卡迪爾·汗(Abdul Qadeer Khan)的幫助,此人在上世紀80年代從一家荷蘭公司竊取了離心機的設計圖紙,并賣給了伊朗。2003年,美國和英國截獲了一艘計劃向伊朗運輸離心機的利比亞船只,其離心機采用的是德國西門子的Step-7型號。
小布什政府和奧巴馬政府認為,如果伊朗被證實發展核武器,以色列可能會對伊朗核設施發動空襲,進而引起一場地區戰爭。之后,一個名為“奧林匹克運動”的計劃開始執行,該計劃涉及五個國家的情報機構,包括美國、以色列、荷蘭、德國以及英國,該計劃的目的是通過投放計算機病毒至伊朗的鈾濃縮基地,以破壞或推遲伊朗的核武器計劃,也被看作一種兵不血刃的方式。
計劃的核心是一款名為Stuxnet的蠕蟲病毒,中文稱為震網病毒,該病毒的研發始于小布什政府時期,并在奧巴馬政府期間被繼續執行。根據卡巴斯基事后對于該病毒規模和復雜性的評估,震網病毒至少有10人以上的研發團隊,歷經2-3年研發,大約花費10億美金。雖然美國和以色列政府都沒有正式承認研發了此病毒,但2011年為慶祝以色列國防軍領導人加比·阿什肯納茲(Gabi Ashkenazi)退休而制作的一段視頻中,將震網病毒列為了他領導下的成果之一。
震網病毒的攻擊目標伊朗納坦茲(Natanz)工廠(一所從2000年開始建設的鈾濃縮工廠)的Windows系統、Windows系統中控制離心機的西門子軟件以及PLC自身的嵌入式軟件,當震網病毒感染一臺計算機時,它會檢查該計算機是否連接到西門子Step-7型號的可編程邏輯控制器(PLC,是計算機與工業機械交互和控制的方式)。如果沒有檢測到PLC,病毒什么也不做,如果有檢測到,那么病毒會改變PLC的編程讓離心機不規則旋轉,從而損壞離心機。同時通過控制器計算機顯示離心機一切工作正常,這就使得工作人員很難檢測或診斷出離心機的問題。
震網病毒被設計為可以通過U盤傳播,運行時包括了用戶模式和內核模式,并竊取和利用兩個臺灣設備制造商的私鑰證書來為病毒的內核程序做數字簽名,同時利用了至少四個Windows系統的0-day漏洞:一個Windows快捷方式漏洞、一個打印假后臺程序漏洞、兩個特權升級漏洞、西門子PLC軟件的0-day漏洞。
為了讓震網病毒能夠進入納坦茲的鈾濃縮工廠的計算機,攻擊者通過一些渠道將病毒投放到納坦茲工廠,這需要在伊朗本地的人員完成,因此荷蘭情報機構AIVD在2005年招募了一名伊朗工程師埃里克·范·薩本(Erik van Sabben)作為間諜,此人有技術背景,在伊朗有自己的生意,社會關系強大,并在伊朗有自己的家人,因此是理想的間諜人選。
為了稱為納坦茲工廠的供應商,美國和以色列成立了兩家公司嘗試成為納坦茲工廠的供應商,其中一家成功獲得了工廠的供應商資質,這名伊朗工程師便以這家公司員工名義開展工作和行動。在此期間,該工程師還向情報機構提供了有關離心機和安裝的數據,以便病毒的研發人員能夠針對納坦茲工廠中的系統進行開發。之后,震網病毒通過這名工程師成功完成了投放和植入,并又通過工廠內的計算機完成了相互傳播和感染。
最先發現蠕蟲病毒影響的外界人士是國際原子能機構(IAEA)的檢查人員,他們獲準進入納坦茲設施,他們的部分工作是檢查并從鈾濃縮工廠中移除受損的離心機,以確保它們不會被用于將鈾偷運到其他地區。在納坦茲這樣規模的工廠中,每年大約有800臺離心機無法使用。但在2010年,IAEA開始注意到損壞離心機的數量異常之高,一位檢查員估計有近1000臺離心機無法使用,但IAEA并未意識到這種異常和病毒相關。
2010年,震網病毒被意外傳播到了納坦茲工廠之外的其他計算機中,當時伊朗一個辦公室的計算機遇到重啟和藍屏死機的情況,即便重裝系統也無濟于事,當地的安全專家無法定位問題和原因,于是聯系了遠在白俄羅斯的反病毒公司工作的朋友謝爾蓋.烏拉森(Sergey Ulasen),烏拉森和他的團隊經過一整天排查后設法隔離了病毒,并意識到其利用的0-day漏洞之多前所未見,于是將他們的發現公之于眾,在安全社區進行分享,震網病毒的存在最終被曝光。
荷蘭情報機構招募的間諜工程師埃里克·范·薩本(Erik van Sabben)在計劃成功實施后成功逃離了伊朗,并在兩周后在迪拜的他家附近死于一場摩托車事故。
震網病毒在2010年被曝光時引起了媒體的廣泛關注,時至今日,它仍然是歷史上最先進的惡意軟件之一。
這款病毒之所以廣泛被關注且影響深遠,原因包括:
-
它是世界上第一個數字武器,能夠對計算機控制的設備造成物理破壞,開創了通過惡意軟件攻擊他國基礎設施的先例。
-
它在當時被認為是最復雜的網絡戰攻擊。
-
它毀掉了伊朗近五分之一的離心機,并導致1000臺離心機受損,導致伊朗核計劃至少推遲了2年。
-
它利用四個不同的0-day漏洞進行攻擊,這在2010年是非常罕見的,至今仍不常見。
-
震網病毒的攻擊證明物理隔離的網絡也是可以通過U盤等人為操作無意識中被攻破。
作者:裴偉偉
2024年5月24日
洞源實驗室?
)
)
+ubuntu18.04)
)
