最近,朝鲜半岛局势又不是很稳定,美朝两国嘴炮不断升级,朝鲜核问题也再次得到了吃瓜群众们的关注。

如果你记性好,会记得在几年前,伊朗核问题也红火过一段时间。巧的是,朝鲜和伊朗是从同一个核贩子——巴基斯坦核弹之父卡迪尔·汗手里买的设备。你知道当年美国和以色列是如何把伊朗逼回谈判桌的吗?那可是相当有创意兼高科技

震网是一种神奇的病毒

-+-

传奇的故事都有一个平凡的开场。

2010年6月,白俄罗斯的一家微型安全公司在为伊朗客户检查系统时,发现一种新型蠕虫病毒。这种病毒除了导致客户的电脑不断死机重启外,好像没什么特别的危害。

凡是新病毒,都会被加入到公共病毒库,供业内人士研究。根据病毒代码中出现的特征字,新病毒被命名为“震网(Stuxnet)”。

美国人写了一个只靠U盘传播的病毒,毁了伊朗的核计划-LeeFang

《攻壳机动队:崛起》中,能植入虚假记忆的病毒以“震网”命名

著名信息安全厂商赛门铁克的应急团队开始着手研究震网。虽然已经知道如何杀死病毒,但他们仍不明白病毒到底想干点啥,因为震网太神奇了。

神奇之一:非常大

震网的主文件大得不可思议——500k字节,而常见恶意代码文件大小仅为10k到15k之间。

一般体量大的病毒都会包含一块非代码区域,多是用图片文件来填充。但震网中并没有图片文件,也没有无关填充物,扎扎实实,全是精巧的代码。

这事儿一般黑客搞不定,震网病毒背后一定有一个非常庞大而专业的团队。

神奇之二:不用互联网

为了窃取信用卡和银行账号信息,黑客会想方设法让病毒尽可能广泛的传播。传播得越广,感染的电脑越多,赚得越多。可震网病毒只凭借某个用户用U盘从一台计算机传播到另一台计算机,或者通过局域网传播。

基于这一点,可以判断攻击者确信他们的目标系统不在互联网上。

神奇之三:有截止日期

震网给自己的行动设定了终止日期:2012年6月24日。每当震网病毒进入一台新的计算机,都会检查计算机上的日期,如果晚于这个日期,病毒就会停下来,放弃感染。已经被感染机器上的恶意程序载荷仍然会继续运作,但震网病毒将不再感染新的计算机。

神奇之四:一个病毒有4个零日漏洞

零日漏洞,是黑客世界中最牛的东西之一。因为它利用的漏洞是软件开发者和反病毒公司还没发现的——这意味着根本没有补丁。

每年有超过1200万种恶意代码出现,但“零日漏洞”大概只有10来个。而震网这一个病毒就华丽丽地配了4个。

美国人写了一个只靠U盘传播的病毒,毁了伊朗的核计划-LeeFang

震网病毒的感染路径

如果是为了勒索敲诈赚钱,那黑客太想不开了:直接卖了不好嘛?一个顶级的零日漏洞连同相应的漏洞利用程序,可以在黑市上卖到5万美元以上,在以政府的网络部队和间谍机构为卖家的内部灰色市场上甚至能卖到10万美元。

到底是什么目标才配得上四个零日漏洞?

病毒的目标只是一个国家

-+-

入侵计算机后,震网病毒做的第一件事,是判断计算机到底是32位还是64位,如果是64位,放弃。

震网还会仔细跟踪自身在计算机上占用的处理器资源情况,只有在确定震网所占用资源不会拖慢计算机速度时才会释放病毒,以免被发现。

感染电脑后,震网开始搜索并把战果汇报给指挥控制服务器。如果计算机没有安装特定的两种软件,震网会主动进入休眠状态。

这两种软件是西门子公司的专有软件Step 7和WinCC。它们都是与西门子公司生产的可编程逻辑控制器(PLC)配套的工业控制系统的一部分,用于配置自动控制系统的软硬件参数。

只有发现了这两款软件,软件所对应的PLC还必须是S7-315和S7-417这两个型号,震网病毒才会开始攻击。这两个型号对应的是两种特定的变频器。

美国人写了一个只靠U盘传播的病毒,毁了伊朗的核计划-LeeFang

通过层层限定,震网不会感染任何一个配置稍有偏差的工业控制系统,只会把它们作为传播的载体和攻击的跳板,直到找到最终的攻击目标。

之后,专家发现,震网攻击的是安装了这两种变频器的6组大型机组,每组164台。

震网攻击的第一个步骤,是为期13天的侦察。期间,震网只是安静的记录着PLC的正常运行状态。震网记录的频率为每分钟1次,在完成约110万次记录之后,才会转入下一个阶段。

在这一阶段,震网会把变频器的频率提升到1410赫兹,并持续15分钟;然后降低到正常运行频率范围内的1064赫兹,持续26天。这26天,还是侦察期。

之后,震网会让频率在2赫兹的水平上持续50分钟,然后再恢复到1064赫兹。再过26天,攻击会再重复一遍。反反复复来来回回,这路数安全专家看不懂。所幸,科学与国际安全研究所的原子能专家们看懂了。

1064赫兹这个频点是IR-1铀浓缩离心机独有的。13天,是令IR-1离心机充满铀所要的时间。

美国人写了一个只靠U盘传播的病毒,毁了伊朗的核计划-LeeFang

IR-1离心机,右边箭头是震网攻击的目标

当震网实施攻击时,会将变频器的频率设定为1410赫兹,并持续15分钟。这个频率,恰好处于IR-1型离心机马达可以承受范围的极限上,频率再高一点,离心机可能就直接损毁了。

在铀浓缩生产进程中,离心机必须持续稳定的高速旋转,才能将含有铀235和铀238从混合气体中分离出来。如果离心机转速降低50到100赫兹,六氟化铀气体产量会减半,何况是降到2赫兹。

震网先让变频器转得飞快,再让它转得死慢。就像坐过山车上上下下你心脏受不了一样,忽快忽慢变频器也受不了,障碍率会噌噌噌往上窜。

美国人写了一个只靠U盘传播的病毒,毁了伊朗的核计划-LeeFang

震网传播渠道

世界上使用IR-1型离心机的国家只有一个——伊朗。伊朗纳坦兹铀浓缩工厂的级联机组,正好由164台离心机构成。

病毒成功的攻击了核设施

-+-

纳坦兹铀浓缩工厂的核设施深埋沙漠下面,那里有一个巨大的离心机车间。

2009年11月,纳坦兹大概有8700台IR-1离心机。因为IR-1离心机非常脆弱,在正常情况下,一年会替换800台。在2009年12月到2010年1月期间,仅仅两个月就坏了1000台离心机。

监控录像显示员工没有违规操作,控制系统也没有报故障。无论换了多少回离心机、换多少批工程师,工厂的运行效率仍只有设计能力的45%~66%,六氟化铀气体原料的消耗量远低于预期。

美国人写了一个只靠U盘传播的病毒,毁了伊朗的核计划-LeeFang

纳坦兹周围的防空武器

纳坦兹核工厂始终无法形成稳定的浓缩铀生产能力,伊朗方面一直没办法找到原因。

直到2010年11月12日,赛门铁克公司发布了一条博客,称震网的攻击对象是某个特定型号的变频器,通过攻击,实现了对变频器的操控。

4天后,纳坦兹全面暂停了工厂的铀浓缩活动。又隔了6天,所有离心机停止运转。

11月29日,伊朗著名核物理学家沙利亚里和放射性同位素分离专家艾巴西在上班途中遭到暗杀,前者死亡,后者重伤。暗杀事件当天,伊朗总统内贾德首次确认,电脑病毒攻击了纳坦兹核设施。

伊朗把锅扣在了以色列和美国的头上。两个国家当然不承认,可惜,不承认没用。近些年美国政府都要漏成筛子了,这回,当然也是靠内部人泄密。泄密的是美军参谋长联席会议前副主席、退役四星上将詹姆斯·卡特赖特。

直到这时,震网病毒所有神奇的设置都有了答案。

震网病毒之所以编制得如此精巧,华丽丽地配了四个零日漏洞,因为背后有美国国家安全局NSA和以色列的8200部队做后盾。将2012年6月24日设定为行动终止日期,因为再过几个月又得选总统啦。震网病毒这事儿挺大的,如果换人了,新总统(当时是奥巴马连任)什么态度不好说。

美国人写了一个只靠U盘传播的病毒,毁了伊朗的核计划-LeeFang

以色列精英部队8200标志

其实震网这事儿,早在布什任期内就开始部署了。2005年8月,内贾德上任两个月后,伊朗核问题的国际谈判破裂,伊朗宣布退出之前签署的“暂停核活动协议”。

以色列催促美国向伊朗开战,连着打了伊拉克和阿富汗两场战争的美国没法再打第三场。于是乎,美国军方和情报部门官员向布什总统提交了一个“不保证成功”的建议案,代号“奥林匹克计划”。

震网,不过是冰山的一个小小角。

网络战离我们有多远?

-+-

奥林匹克计划究竟包括啥、想干啥,还没完全被披露出来。目前已知的是,除了震网病毒,另一种病毒也是计划的一部分。

火焰病毒(Flame)是一部间谍工具百科全书。这个20M的病毒里,有的模块负责从染毒计算机中直接盗取文档,有的模块负责获取击键记录、每隔15到60秒抓取屏幕截图,有的模块通过暗中打开染毒计算机上自带的麦克风来偷听环境声音,还有的模块利用染毒计算机的蓝牙功能,自动搜寻能连接的智能手机和有效通信范围内的其他蓝牙设备,再盗取手机或设备上的数据。卡巴斯基实验室认为,彻底搞清楚火焰病毒,需要十年时间

美国人写了一个只靠U盘传播的病毒,毁了伊朗的核计划-LeeFang

火焰病毒因这一段代码得名

更令人吃惊的是,火焰病毒的第一个组件,写于1994年和1995年。

1993年,美国空军将电子战中心改组为信息战中心,并在2年后成立了美军首支网络战部队——第609信息战中队。

2003年,五角大楼秘密发布了一份“信息作战路线图”,首次将信息战列为与空战、陆战、海战和特种作战并列的核心军事能力。

7年后,当震网病毒疯狂传播时,五角大楼组建“美军网络司令部”并正式宣布,网络空间已经成为继空、地、海、太空之后的“第五作战域”。

全球第一个投入实战的网络武器,是专门定向攻击现实世界基础设施的震网病毒。

美国人写了一个只靠U盘传播的病毒,毁了伊朗的核计划-LeeFang

和精确制导导弹相比,网络武器打击更精准,危害只大不小。这可不是我们瞎说。

首先,病毒有能力攻击的可编程逻辑控制器PLC可不只有核设施会用。PLC被用于各种各样的自动控制系统,大到发电厂、水库、天然气管道,小到红绿灯的亮灭、监狱牢房的开关。你想象一下,一座城市停水停电一个月、监狱里犯人全出逃,会是什么模样。而且,不连接互联网并不能幸免。纳坦兹就不通互联网。

另外,网络武器的特点是使用即发布。网络武器的代码中,包含着攻击者所有的设计思路和蓝图,当你在使用网络武器攻击敌人的同时,你就给了敌人“以其人之道还治其人之身”的能力。震网病毒被揭开没多久,俄罗斯就掌握其中所有道道儿。

更可笑的是,震网病毒后来传回了美国,美国国土安全部不知道震网背后的秘密,还大费周章地成立专门应对小组。

然而,从某种程度上说,可怕的不是俄罗斯,也不是“搬起石头砸自己的脚”,而是那些高智商天才程序员们,其中相当一部分还没成年。他们掌握了网络武器,会干什么?

投下一枚导弹,目标总归是有限的。可网络武器一旦上线,路径和影响无法预测。

美国人写了一个只靠U盘传播的病毒,毁了伊朗的核计划-LeeFang

在线杂志《原子能科学家公报》执行主编柏南迪说,

可笑的是,网络武器的第一次军事化运用,居然是为了阻止核武器的扩散。为了终结前一个大规模杀伤性武器的时代,开启了一个新的大规模杀伤性武器的时代。”

参考资料:

1.零日漏洞:震网病毒全揭秘,Kim Zetter

2.Meet 'Flame,' The Massive Spy MalwareInfiltrating Iranian Computers, Wired

3.纪录片Zero Days