dede网站名称不能保存,wordpress运费设置,WordPress表情包插件,天津市建设监理协会网站2010年#xff0c;震网病毒被发现#xff0c;引起世界哗然#xff0c;在后续的10年间#xff0c;陆陆续续有更多关于该病毒的背景和细节曝光。今年#xff0c;《以色列时报》和《荷兰日报》又披露了关于此事件的更多信息#xff0c;基于这些信息#xff0c;我们重新梳理… 2010年震网病毒被发现引起世界哗然在后续的10年间陆陆续续有更多关于该病毒的背景和细节曝光。今年《以色列时报》和《荷兰日报》又披露了关于此事件的更多信息基于这些信息我们重新梳理了震网病毒的来龙去脉。
伊朗自从上世纪50年代开始便有意开展核计划但直到本世纪初才在浓缩铀生产有所突破这得益于巴基斯坦核武器之父阿卜杜勒·卡迪尔·汗(Abdul Qadeer Khan)的帮助此人在上世纪80年代从一家荷兰公司窃取了离心机的设计图纸并卖给了伊朗。2003年美国和英国截获了一艘计划向伊朗运输离心机的利比亚船只其离心机采用的是德国西门子的Step-7型号。
小布什政府和奥巴马政府认为如果伊朗被证实发展核武器以色列可能会对伊朗核设施发动空袭进而引起一场地区战争。之后一个名为“奥林匹克运动”的计划开始执行该计划涉及五个国家的情报机构包括美国、以色列、荷兰、德国以及英国该计划的目的是通过投放计算机病毒至伊朗的铀浓缩基地以破坏或推迟伊朗的核武器计划也被看作一种兵不血刃的方式。
计划的核心是一款名为Stuxnet的蠕虫病毒中文称为震网病毒该病毒的研发始于小布什政府时期并在奥巴马政府期间被继续执行。根据卡巴斯基事后对于该病毒规模和复杂性的评估震网病毒至少有10人以上的研发团队历经2-3年研发大约花费10亿美金。虽然美国和以色列政府都没有正式承认研发了此病毒但2011年为庆祝以色列国防军领导人加比·阿什肯纳兹Gabi Ashkenazi退休而制作的一段视频中将震网病毒列为了他领导下的成果之一。
震网病毒的攻击目标伊朗纳坦兹Natanz工厂一所从2000年开始建设的铀浓缩工厂的Windows系统、Windows系统中控制离心机的西门子软件以及PLC自身的嵌入式软件当震网病毒感染一台计算机时它会检查该计算机是否连接到西门子Step-7型号的可编程逻辑控制器PLC是计算机与工业机械交互和控制的方式。如果没有检测到PLC病毒什么也不做如果有检测到那么病毒会改变PLC的编程让离心机不规则旋转从而损坏离心机。同时通过控制器计算机显示离心机一切工作正常这就使得工作人员很难检测或诊断出离心机的问题。
震网病毒被设计为可以通过U盘传播运行时包括了用户模式和内核模式并窃取和利用两个台湾设备制造商的私钥证书来为病毒的内核程序做数字签名同时利用了至少四个Windows系统的0-day漏洞一个Windows快捷方式漏洞、一个打印假后台程序漏洞、两个特权升级漏洞、西门子PLC软件的0-day漏洞。
为了让震网病毒能够进入纳坦兹的铀浓缩工厂的计算机攻击者通过一些渠道将病毒投放到纳坦兹工厂这需要在伊朗本地的人员完成因此荷兰情报机构AIVD在2005年招募了一名伊朗工程师埃里克·范·萨本Erik van Sabben作为间谍此人有技术背景在伊朗有自己的生意社会关系强大并在伊朗有自己的家人因此是理想的间谍人选。
为了称为纳坦兹工厂的供应商美国和以色列成立了两家公司尝试成为纳坦兹工厂的供应商其中一家成功获得了工厂的供应商资质这名伊朗工程师便以这家公司员工名义开展工作和行动。在此期间该工程师还向情报机构提供了有关离心机和安装的数据以便病毒的研发人员能够针对纳坦兹工厂中的系统进行开发。之后震网病毒通过这名工程师成功完成了投放和植入并又通过工厂内的计算机完成了相互传播和感染。
最先发现蠕虫病毒影响的外界人士是国际原子能机构IAEA的检查人员他们获准进入纳坦兹设施他们的部分工作是检查并从铀浓缩工厂中移除受损的离心机以确保它们不会被用于将铀偷运到其他地区。在纳坦兹这样规模的工厂中每年大约有800台离心机无法使用。但在2010年IAEA开始注意到损坏离心机的数量异常之高一位检查员估计有近1000台离心机无法使用但IAEA并未意识到这种异常和病毒相关。
2010年震网病毒被意外传播到了纳坦兹工厂之外的其他计算机中当时伊朗一个办公室的计算机遇到重启和蓝屏死机的情况即便重装系统也无济于事当地的安全专家无法定位问题和原因于是联系了远在白俄罗斯的反病毒公司工作的朋友谢尔盖.乌拉森Sergey Ulasen乌拉森和他的团队经过一整天排查后设法隔离了病毒并意识到其利用的0-day漏洞之多前所未见于是将他们的发现公之于众在安全社区进行分享震网病毒的存在最终被曝光。
荷兰情报机构招募的间谍工程师埃里克·范·萨本Erik van Sabben在计划成功实施后成功逃离了伊朗并在两周后在迪拜的他家附近死于一场摩托车事故。
震网病毒在2010年被曝光时引起了媒体的广泛关注时至今日它仍然是历史上最先进的恶意软件之一。
这款病毒之所以广泛被关注且影响深远原因包括 它是世界上第一个数字武器能够对计算机控制的设备造成物理破坏开创了通过恶意软件攻击他国基础设施的先例。 它在当时被认为是最复杂的网络战攻击。 它毁掉了伊朗近五分之一的离心机并导致1000台离心机受损导致伊朗核计划至少推迟了2年。 它利用四个不同的0-day漏洞进行攻击这在2010年是非常罕见的至今仍不常见。 震网病毒的攻击证明物理隔离的网络也是可以通过U盘等人为操作无意识中被攻破。
作者裴伟伟
2024年5月24日
洞源实验室
