概述
震網(Stuxnet),指一種蠕蟲病毒。它的複雜程度遠超一般電腦黑客的能力。這種震網(Stuxnet)病毒于2010年6月首次被檢測出來,是第一個專門定向攻擊真實世界中基礎(能源)設施的“蠕蟲”病毒,比如核電站,水壩,國家電網。互聯網安全專家對此表示擔心。
“震網”病毒利用了微軟視窗操作系統之前未被發現的4個漏洞。通常意義上的犯罪性黑客會利用這些漏洞盜取銀行和信用卡信息來獲取非法收入。而“震網”病毒不像一些惡意軟件那樣可以賺錢,它需要花錢研制。這是專家們相信“震網”病毒出自情報部門的一個原因。
據全球最大網絡保安公司賽門鐵克(Symantec)和微軟(Microsoft)公司的研究,近60%的感染發生在伊朗,其次為印尼(約20%)和印度(約10%),阿塞拜疆、美國與巴基斯坦等地亦有小量個案。由于“震網”感染的重災區集中在伊朗境内。美國和以色列因此被懷疑是“震網”的發明人。這種新病毒采取了多種先進技術,因此具有極強的隐身和破壞力。隻要電腦操作員将被病毒感染的U盤插入USB接口,這種病毒就會在神不知鬼不覺的情況下(不會有任何其他操作要求或者提示出現)取得一些工業用電腦系統的控制權。
發現曆程
2010年6月,白俄羅斯的一家安全公司VirusBlokAda受邀為一些伊朗客戶檢查系統,調查他們電腦的死機和重啟問題。技術人員在客戶電腦中發現了一種新的蠕蟲病毒。根據病毒代碼中出現的特征字“stux”,新病毒被命名為“震網病毒(stuxnet)”,并加入到公共病毒庫,公布給業界人士研究。瑞星專家表示,這是世界上首個專門針對工業控制系統編寫的破壞性病毒,它同時利用包括MS10-046、MS10-061、MS08-067等7個最新漏洞進行攻擊。
2010年9月,瑞星公司監測到這個席卷全球工業界的病毒已經入侵中國。瑞星反病毒專家警告說,許多大型重要企業在安全制度上存在缺失,可能促進Stuxnet病毒在企業中的大規模傳播。
2010年12月15日,一位德國計算機高級顧問表示,“震網”計算機病毒令德黑蘭的核計劃拖後了兩年。這個惡意軟件2010年一再以伊朗核設施為目标,通過滲透進“視窗”(Windows)操作系統,并對其進行重新編程而造成破壞。
2011年1月26日,俄羅斯常駐北約代表羅戈津表示,這種病毒可能給伊朗布什爾核電站造成嚴重影響,導緻有毒的放射性物質洩漏,其危害将不亞于1986年發生的切爾諾貝利核電站事故。
2012年6月1日的美國《紐約時報》報道,揭露“震網”病毒起源于2006年前後由美國前總統小布什啟動的“奧運會計劃”。2008年,奧巴馬上任後下令加速該計劃。
2013年3月,中國解放軍報報道,美國曾利用“震網”蠕蟲病毒攻擊伊朗的鈾濃縮設備,已經造成伊朗核電站推遲發電,目前國内已有近500萬網民、及多個行業的領軍企業遭此病毒攻擊。這種病毒可能是新時期電子戰争中的一種武器。震網病毒,截止2011年,感染了全球超過45000個網絡,60%的個人電腦感染了這種病毒。
主要特點
起初,研究人員以為,這不過是千萬種流行病毒中的一種。世界上每天都有新病毒産生,大部分都是青少年的惡作劇,少部分則是犯罪分子用來盜取個人信息的工具,震網病毒也許隻是其中之一。但進一步的深入研究卻讓他們瞠口結舌:震網的複雜度遠遠出乎人們的意料,它是當時所發現的最精妙、最複雜的病毒,沒有之一。
首先,它利用了4個Windows零日漏洞。零日漏洞是指軟件中剛剛被發現、還沒有被公開或者沒有被修補的漏洞。零日漏洞可以大大提高電腦入侵的成功率,具有巨大的經濟價值,在黑市上,一個零日漏洞通常可以賣到幾十萬美元。即使是犯罪集團的職業黑客,也不會奢侈到在一個病毒中同時用上4個零日漏洞。僅此一點,就可以看出該病毒的開發者不是一般黑客,它具備強大的經濟實力。并且,開發者對于攻擊目标懷有志在必得的決心,因此才會同時用上多個零日漏洞,确保一擊得手。
其次,它具備超強的USB傳播能力。傳統病毒主要是通過網絡傳播,而震網病毒大大增強了通過USB接口傳播的能力,它會自動感染任何接入的U盤。在病毒開發者眼中,似乎病毒的傳播環境不是真正的互聯網,而是一個網絡連接受到限制的地方,因此需要靠USB口來擴充傳播途徑。
最奇怪的是,病毒中居然還含有兩個針對西門子工控軟件漏洞的攻擊,這在當時的病毒中是絕無僅有的。從互聯網的角度來看,工業控制是一種恐龍式的技術,古老的通信方式、隔絕的網絡連接、龐大的系統規模、緩慢的技術變革,這些都讓工控系統看上去跟互聯網截然不同。此前從沒人想過,在互聯網上泛濫的病毒,也可以應用到工業系統中去。
