电脑战争爆发轰瘫伊朗核电站编辑本段回目录
Stuxnet病毒部分源码
伊朗布什尔核电厂上月启用后发生连串故障,当局表面声称是天热所致,但真正原因却可能是核电厂遭计算机病毒控制。多名国际计算机保安专家近期都发现一种专门攻击核电站的超级计算机病毒,被形容为全球首个“计算机超级武器”或“计算机聪明炸弹”,估计是某个国家开发,专门攻击伊朗,标志着全球踏入计算机战争时代。
伊朗专家紧急抗击病毒
伊朗媒体报道称,伊朗核机构正设法抗击一种复杂的计算机蠕虫病毒,该病毒对伊朗全国的工业场所都造成了影响并且能够控制发电站。据称,伊朗原子能组织的专家本周进行了会面,讨论如何清除恶意计算器代码。
这种名为Stuxnet的计算机蠕虫能够控制那些管理工厂内部工作的系统。德国专家在6月份发现了该病毒,此后它在大量攻击中都出现过——主要是在伊朗、印度尼西亚、印度和美国。
已感染全球4万多网络
德国专家朗纳已对Stuxnet研究多月。他表示,病毒专门寻找目标设施的控制系统,然后摧毁它。只要
目标计算机使用微软窗口系统,病毒便会自动找寻及攻击“监督控制及数据收集系统”(SCADA),借以控制设施冷却系统或涡轮机的运作,最严重情况可让设施失控至自毁,而工作人员却对此毫不知情。他预测,很快就会有重大事件发生。
朗纳又指出,该病毒异常精密,应该是极高质素的专家团队所为,当中不少更是核电站控制系统的专才,所需资源达国家级。该病毒自6月被发现以来,已感染全球4.5万个网络,大部分没造成破坏,而重灾区则属伊朗。
朗纳更称,肯定该病毒是为攻击现实中的设施而设,又怀疑其目标便是布什尔核电厂。
专题文字 王裳
靠U盘传播 无须联网
Stuxnet的传播方式有别于一般计算机病毒,美国专家斯霍文伯格指出,它仅需U盘便可传播,无须透过互联网。另有研究人员指出,布什尔核电厂感染病毒,应是透过一间工作中会接触该厂的公司。朗纳相信Stuxnet只属一次性的计算机武器,被分析后便再无作为。
伊朗今年3月指控美国,自2006年起资助至少30人进行网络战,包括渗透伊朗银行的数据库。而刚刚于五月成立的美国军方网络司令部,10月1日正式投入运作。美军司令亚历山大日前敦促政府在国内加强保护计算机系统,为联邦机构、金融网络和关键基础设立“安全区”。
迄今最精妙病毒美国、以色列干的?
英国安全专家说,Stuxnet几乎可以肯定是某国政府机构的作品,但专家警告说要确认嫌犯几乎是不可能的。
Stuxnet计算机蠕虫被称为“迄今发现的最精妙恶意程序”之一,计算器安全公司称,该病毒在伊朗最活跃,这让一些专家推测是以色列黑客制造了该病毒。 美国保安软件公司Sunbelt的顾问斯乔韦曼更直指元凶就是美国或以色列。
在线安全企业Sophos的高级咨询师格雷厄姆·克卢利则警告说,不要急于得出结论,克卢利对那些将Stuxnet与以色列联系在一起的报道十分警惕,他说:“很难百分之百地证实是谁制造了恶意程序,除非你能从他们制造病毒的计算机上收集到证据——当然,或者有人自己承认。”
纽约时报:酿造混乱的病毒程序 编辑本段回目录
今年六月,一家总部位于白俄罗斯的计算机安全公司发现了一种新的计算机恶意程序——“超级工厂病毒”(Stuxnet),该病毒多次反复地导致该公司某客户的电脑系统瘫痪。接着,上个月,德国的一位安全研究人员提出,该恶意程序的真正目标可能是伊朗的核计划,而该恶意程序编码中的一些迹象暗示,以色列是该病毒的制造者。自那时以来,随着这种蠕虫病毒的复杂性及其攻击目标越来越明显,人们对它的恐慌也日益增加。该病毒已侵入许多国家,特别是中国、印度、印度尼西亚和伊朗。该病毒的攻击目标似乎是某种西门子工业控制计算机,该计算机广泛用于石油管道、电力网及许多类型核电厂的管理。现在的问题是:这种蠕虫病毒及这场网络战究竟已变得有多危险呢?
这场网络战涉及面有多广泛?
美国联邦调查局(Federal Bureau of Investigation,简称FBI)在2007年公布的一份报告声称,有108个国家至少拥有一些网络作战的进攻性能力。人们普遍猜测,随着一些国家在硬件和软件方面建立了先进的攻击能力,一场网络战争的“军备竞赛”正在秘密展开。最近的一系列战争和军事交火——比如俄罗斯在2007年与爱沙尼亚发生的争执、或者在2008年与格鲁吉亚发出的冲突,都伴随有以相关政府及金融网站为攻击目标的“网络战争”。
网络战争最早是哪一次?
前美国空军部长托马斯·里德(Thomas C. Reed)在他的著作《落入深渊》(At the Abyss)中,曾描述过一种称为特洛伊木马(Trojan horse)的软件程序,这种恶意程序附随工业控制软件被美国政府秘密添加到从加拿大运往前苏联的某设备之中。据里德先生所述,当该设备于1982年6月安装在某西伯利亚天然气管道中之后,它突然失控,引发了一场巨大的爆炸和火灾。
另一起事件发生在1990年1月,美国电话电报公司(AT&T)的长途传输网络发生瘫痪,该事件也引发人们对有人蓄意破坏的怀疑。
但是,自1970年代——即由美国军方资助的实验性研究网络、互联网的前身阿帕网(Arpanet)的发展初期以来,安全专家一直担心各种潜在的网络攻击。科研人员那时安装了一个现在来说已属老式的波特率为9600的调制解调器,通过维也纳的一个数学研究中心将莫斯科与美国进行网络连接,当时人们对此网络连接的忧虑极大。当美国国家安全人员发现这个网络连接之后,对该研究中心的资助便被取消了。
超级工厂病毒有什么样的不同?
超级工厂病毒是首个以从基于Windows操作系统的计算机传染到用于电网、生产厂房、天然气管道、大坝及发电厂等工业设备的某种特殊控制系统为目的并得到广泛研究分析的恶意程序。在此之前,一些最引人注目的网络攻击主要针对的是一些网站及企业或军事网络。
至少,对于那些已得到证实的网络攻击来说,这是事实。但也有人猜测,有些网络攻击事件可能是蓄意破坏。比如,《洛杉矶时报》(Los Angeles Times)曾在2001年报道说,某次侵入电网控制网络事件的嫌疑者可能源自中国广东省。之后的其他一些电网网络遇袭报告也往往指控入侵之举是由中国人精心策划的,虽然至今尚未有证据可以证实。
对于这次的超级工厂病毒,认为以色列参与其中的正反论据是什么?
德国安全研究人员拉尔夫·兰纳(Ralph Langner)指出,超级工厂病毒的攻击目标似乎是某核设施或某铀浓缩工厂,他是首位提出如此看法的专家。而该病毒软件编码中的一些迹象暗示,以色列是该病毒的制造者。这些迹象包括编码中可能间接提到描述犹太人对波斯威胁进行报复的以斯帖记,以及一个号码——19790509——该号码似乎指的是以色列某行刑队在德黑兰枪决一名伊朗犹太人的日期。
但是,包括一些对以色列情报行动有直接了解的人士在内的军事和情报分析人士表示,如果以色列或美国参与其中的话,不可能留有如此明显的痕迹。或许有人想制造假象,故意误导人们以为色列参与其中。大多数计算机安全专家表示,或许永远无法发现超级工厂病毒的真正制造者。
计算机安全专家最担心的攻击是什么?
他们普遍担心的是那些干扰或破坏大规模金融网络、电网、电厂、交通系统或者作为工业经济基础的任何现代化基础设施的攻击。
在许多情况下,确保这些系统安全的第一步就是要确保它们与互联网毫无任何连接。然而,即使这些系统与互联网处于分离状态,在很多情况下,这些系统往往采用以互联网协议为基础的内部网络,以及基于微软和英特尔的计算机这类常见的电脑设备。这意味着,这些系统仍然可能容易受到“人工传递网络”(sneakernet)的攻击,在这种攻击中,某恶意程序可以在无意中或由入侵者故意地实体带入某孤立网络之中。
骇客能单人完成这种攻击吗?
计算机安全专家普遍认为,对于超级工厂病毒而言,一个人无法进行这种攻击,而需要一组程序高手携手合作。研究过该恶意软件的许多专家表示,这样的病毒软件背后需要一个财力雄厚的组织,才能进行病毒软件开发、测试、然后发布。当然,那些拥有网络战争攻击能力的国家都是潜在的嫌疑对象,但它们并不是唯一可能的病毒开发者。中国、以色列和巴勒斯坦都拥有一批技能高超、目标明确的非正规网络黑客部队。
原文标题:A Code for Chaos(查看原文推荐)
原文链接:http://www.nytimes.com/2010/10/03/weekinreview/03markoff.html?ref=weekinreview
I作者:约翰·马科夫
发表:2010年10月2日
译者:iDo98
伊朗遭蠕虫病毒攻击编辑本段回目录
据新华社电 伊朗媒体2010年9月24日报道,伊朗原子能组织专家本周召开会议,商讨如何应对大规模入侵各地工业设施计算机系统的Stuxnet蠕虫病毒。
伊朗学生通讯社报道,伊朗各地工业设施遭到这一恶意代码攻击。报道没有说明遭到攻击的具体设施。
与其他以盗窃或篡改计算机数据为单一目标的病毒不同,Stuxnet是世界上首个专门针对工业控制系统编写的恶意病毒,一旦攻击成功,能够控制计算机监控系统,破坏工厂正常运行。
德国专家今年7月发现Stuxnet蠕虫病毒后,伊朗、印度尼西亚、印度和美国均遭到Stuxnet攻击。
西方媒体猜测,这一专门针对西门子监控与数据采集系统的Stuxnet病毒的目标是伊朗首座核电站布什尔核电站。
布什尔核电站位于伊朗南部港口城市布什尔附近,设计装机容量1000兆瓦。核电站建设项目始于上世纪70年代,但在1979年伊朗爆发伊斯兰革命后中断。
1996年2月,布什尔核电站在俄罗斯的帮助下开始复建。2009年2月底,核电站进入测试运行阶段。2010年8月,核电站反应堆开始装载核燃料。
Stuxnet蠕虫肆虐全球 各大工业均遭波及编辑本段回目录
对于系统管理员来说,微软、Adobe和苹果发布的安全公告和补丁数量日益增加,让大家的心态都有些麻木了。难怪在关于零日攻击的最新公告“Stuxnet蠕虫攻击”发布的时候,大多数人仅仅就是打个哈欠,没有一丝紧张的迹象。就象在关于该事件的最新消息中了解到的,但引起笔者关注的是发布者的来源:管理自动化。
管理自动化是一家非常优秀的(美国)网站,关注的重点是供应链、制造、过程控制和产品生命周期管理方面的内容。在过去的五年甚至更长的时间里,他们关注的话题和网络管理员的关系并不是那么密切,而是通常限于工业系统安全管理、工业间谍行为的防范等方面。仅仅到了最近,管理自动化网站才新增加了栏目,关注是设备中的恶意软件情况。它是值得引起注意的,下面就让我们来看一下Stuxnet到底是何方神圣:
全球各地的制造商被告知,一个针对数据采集与监控系统(SCADA)的潜伏病毒已经开始广泛传播。
该恶意软件针对的是西门子SIMATIC WinCC和PCS 7软件,分布式控制和数据采集与监控系统,属于很多制造企业在生产经营过程中不可分割的部分。
在制造和工艺领域不使用西门子SIMATIC WinCC和PCS 7软件是几乎不可能做到的。因此,我们可以了解到这次新出现的威胁有多严重,现场人员应该予以重点关注,这次的危机我们自己就可以很容易处理了吗?答案是否定的,因此,我们有理由对其进行重点关注。
连核电站都遭受到Stuxnet蠕虫的侵害
一名美国知名的IT作者同一天也在管理自动化网站发表了一篇文章,题目为《对于基础设施保护来说,出现针对SCADA系统的恶意软件是一种不祥的潜在新威胁》。美国知名IT媒体网络世界引用来自F-Secure公司的警告,认为“这可能引起病毒流行的威胁”。最后,可能是类似情况的标准声明,微软在今年7月16日发布的2286198号安全公告中建议客户访问微软提供的通用支持网站,并联系“所在国家的执法机关。”
所有这一切都足以让我更加关注它。
尽管在通常情况下,SCADA系统很少定期链接到互联网上,但它们内部之间也是通过网络互联的,并且也存在常见的漏洞。(从网络上的信息来看,这次针对西门子产品的攻击中,明确提到的目标是以太网交换机和无线局域网。)西方各国的一些公共官员已经对SCADA系统中存在的风险发出了明确警告,特别是现在已经有几个例子出现的情况下。一处特别的漏洞(一个硬编码的密码,可以允许用户进入西门子软件的后端数据库)没有被专门标注出来(在西门子进行的软件质量审核中,软件的日期加上质疑导致了问题的出现),被恶意软件包利用。
由于病毒是通过优盘或网络共享进行传播的,因此,简单地关闭Windows自动运行并不能影响它的传播;只要查看了受到感染的系统文件,恶意软件就可以完成安装。一名来自托菲诺公司的安全专家认为,该零日攻击可以对所有版本的Windows系统造成破坏,在接下来的一个月或更短的时间里,就可以传播到全球各地。初步评估表明,恶意软件没有对基础设施进行专门破坏,而是窃取了SIMATIC WinCC/PCS 7运行中的信息,有点类似,某种形式的工业间谍活动。当然,这样的工业间谍行为以后也可能对相同或类似配置的系统造成严重破坏。
最近的新闻报道和分析师已经注意到它对SCADA网络带来的威胁,以及蠕虫病毒用来进行更广泛传播的Windows安全漏洞(它利用了Windows中对快捷方式进行解释的代码,即.lnk文件)。微软已经在分析结果中表明了传播的方式,并将其命名为“Stuxnet”威胁,对于Windows外壳中的“错误快捷方式”来说,这是一种新的安全漏洞。在MITRE的常见缺陷列表中,Stuxnet已经被编注为CVE-2010-2568。就其本身而言,微软已经给出了各种解决办法,并更新了自己的检测引擎。
更多的问题和处理措施
但仅仅这么处理是不够的,该攻击也涉及到瑞昱半导体拥有的威瑞信数字签名证书被盗窃。Stuxnet可以利用该证书来对自安装所需的驱动程序进行验证。尽管微软已经说服了瑞昱和威瑞信撤销该证书,但对于木马攻击来说,这几乎是无关痛痒的事。
这样会导致依赖综合症出现?
所有这一切意味着什么呢?这起事件让我们学到了一个教训,尽管并不是新的,这就是认为大多数恶意软件都以互联网为中心的方向可能让我们错过某些类型的威胁。SCADA系统中的漏洞,只是存在一定的威胁。这些威胁可能不会直接传播到通用网络上,但它们依靠的是链接、能源甚至人类可居住性的SCADA系统。“依赖综合症”就意味着,由网络管理员进行日常管理的传统网络与托管的SIMATIC WinCC/PCS7之类的非传统网络链接到一起的话,迟早将会发生不能防范和保障安全的情况。
译者注:Stuxnet蠕虫也已经引发了大规模的攻击事件,同时也吸引了国内外诸多安全厂商的关注,比如卡巴斯基就号称他们率先发现了这个蠕虫,而迈克菲、瑞星等安全巨头也纷纷对Stuxnet的攻击表示担忧。
Stuxnet蠕虫到底在技术上有何特性,我们也通过卡巴斯基实验室了解到了其中的一些秘密,来自卡巴斯基对Stuxnet蠕虫的揭秘:
近日,卡巴斯基实验室相关专家表示,一款名为Stuxnet的蠕虫病毒开启了网络战争新时代。根据卡巴斯基实验室监测报告显示, Stuxnet蠕虫攻击现已引发关于攻击者身份、攻击目标、攻击意图等诸多争论。
截至目前,卡巴斯基实验室还没有足够证据用以识别攻击者来自哪里及其预定攻击目标,但可以确定的是,这是一种掌握了独一无二的、复杂的、娴熟且高超技术的团队恶意攻击行为。另外,卡巴斯基实验室认为,这是全球第一个得到某国政府资助下展开的大规模恶意网络攻击行为。
“我认为此事将成为网络攻击行为的转折点,同时也提醒我们必须重新认识网络安全环境,此前的恶意攻击行为仅限于破坏网络,而此次攻击恐怕与网络恐怖活动、网络军备竞赛及网络战争有关。”卡巴斯基实验室创办人兼首席执行官尤金·卡巴斯基出席在德国慕尼黑举行的卡巴斯基实验室国际新闻记者安全研讨会上对此表示。他还特别强调,“与传统的恶意程序最大的不同点在于,Stuxnet蠕虫的攻击目的不是要偷盗钱财、发送垃圾邮件、窃取个人隐私,而是旨在破坏植物、与工业系统”。
深度分析Stuxnet蠕虫病毒编辑本段回目录
近日,国内外多家媒体相继报道了Stuxnet蠕虫对西门子公司的数据采集与监控系统SIMATIC WinCC进行攻击的事件,称其为"超级病毒"、"超级工厂病毒",并形容成"超级武器"、"潘多拉的魔盒"。
Stuxnet蠕虫(俗称"震网"、"双子")在今年7月开始爆发。它利用了微软操作系统中至少4个漏洞,其中有3个全新的零日漏洞;伪造驱动程序的数字签名;通过一套完整的入侵和传播流程,突破工业专用局域网的物理限制;利用WinCC系统的2个漏洞,对其开展破坏性攻击。它是第一个直接破坏现实世界中工业基础设施的恶意代码。据赛门铁克公司的统计,目前全球已有约45000个网络被该蠕虫感染,其中60%的受害主机位于伊朗境内。伊朗政府已经确认该国的布什尔核电站遭到Stuxnet蠕虫的攻击。
于7月15日捕获到Stuxnet蠕虫的第一个变种,在第一时间展开分析,发布了分析报告及防范措施,对其持续跟踪,并第一时间发布深度分析报告(见文末扩展信息1)。截止至本文发布,安天已经累计捕获13个变种、 600多个不同哈希值的样本实体。
一般情况下,蠕虫的攻击价值在于其传播范围的广阔性、攻击目标的普遍性。此次攻击与此截然相反,最终目标既不在开放主机之上,也不是通用软件。无论是要渗透到内部网络,还是挖掘大型专用软件的漏洞,都非寻常攻击所能做到。这也表明攻击的意图十分明确,是一次精心谋划的攻击。
这些漏洞并非随意挑选。从蠕虫的传播方式来看,每一种漏洞都发挥了独特的作用。比如基于自动播放功的U盘病毒被绝大部分杀毒软件防御的现状下,就使用快捷方式漏洞实现U盘传播。
另一方面,在捕获的样本中,有一部分实体的时间戳是今年3月。这意味着至少在3月份,上述零日漏洞就已经被攻击者掌握。但直到7月份大规模爆发,漏洞才首次披露出来。这期间要控制漏洞不泄露,有一定难度。
因此,推断攻击者具有雄厚的财力和研究能力。
在我国,WinCC已被广泛应用于很多重要行业,一旦受到攻击,可能造成相关企业的设施运行异常,甚至造成商业资料失窃、停工停产等严重事故。
Stuxnet带来的问题不只如此。一般来说,一种新的攻击方法、攻击思路和攻击目标出现,都会较长时间带来示范效应,导致今后攻击的重点从传统的信息网络向工业系统转移。
对于Stuxnet病毒的出现,并未感到十分意外。早在去年,就接受用户委托,对化工行业仪表的安全性展开过研究,情况不容乐观。
1999年:美称第一次世界“电脑大战”爆发编辑本段回目录
本报综合消息,美国官员近日称,俄罗斯电脑黑客在过去6 个月里,不断入侵美国网络“禁地”,窃取其武器导向系统资料和海军谍报密码等机密。美国官员把这些黑客的行动命名为“月光迷宫”,并声称这是第一次世界“电脑大战”。
据透露,美国电脑保安专家指出,入侵的黑客非常专业,而且十分有组织。尽管他们已加强保安系统,但仍未能完全阻止对方的窃密行动。虽然没有真凭实据,但认为,这场“月光迷宫” 行动的主谋是俄罗斯。在其中一次窃密事件中,一名美国海军技术人员便发现,黑客把海军的机密档案偷到莫斯科。
电脑专家经常警告,由于美国十分依赖电脑技术,万一敌方能侵入他们的系统,进行窃密或破坏,便可能爆发“偷袭数码珍珠港”事件,令美国损失惨重。
参考文献编辑本段回目录
http://xiazai.zol.com.cn/article_topic/198/1981390.html
http://security.zdnet.com.cn/security_zone/2010/0926/1897657.shtml
