|
|---|
|
|
|
|
|
s******n
发帖数: 518 | 1 震网病毒:第一场网络战争的故事
96 dailu
2016.04.24 14:43* 字数 5974 阅读 3350评论 0喜欢 1
(初来乍到,贴篇旧文。)
2014年11月,索尼影像公司遭到黑客攻击,电脑网络全部瘫痪,职工一度只能靠纸笔办
公,仿佛回到三十年前。黑客泄露了大批公司机密,并且要求取消上映《刺杀金正恩》
(TheInterview)一片,否则将发动更多袭击。
此举被美国政府定性为恐怖威胁,认为它意在破坏美国的言论自由。根据网络攻击的痕
迹,美国还揭露出此番攻击的幕后主使,正是金正恩领导下的朝鲜政府。12月底,朝鲜
也受到网络攻击,全国范围内的网络也都无法使用,怀疑是遭到了美国的报复。
美朝两国在网络上交相攻伐,引发某些媒体惊呼道:“下一场战争,将是网络战争?”
答案是明显的:不仅仅是下一场战争,实际上,上一场战争已经是网络战争。
2006至2010年,著名的震网病毒曾经入侵伊朗核工厂长达五年之久,严重破坏了伊朗核
计划。那次入侵的战场只在网络之间,武器也只是软件程序,但它却完全符合最严格的
战争定义:它发生于国家之间,它针对军事设施和人员,它企图达到某种政治目。因此
,震网病毒被认为是人类第一场网络战争,我们早在2006年就已进入网络战争的时代。
这场战争发端于2006年。这一年,伊朗违背先前签订的协议,重启核计划,在纳坦兹核
工厂安装大批离心机,进行浓缩铀的生产,为进一步制造核武器准备原料。
纳坦兹核工厂
应该说,伊朗人选择的时机很不错。国际社会想要迫使一个国家放弃核计划,无非两种
方法:经济制裁,或军事打击。制裁对于伊朗这种孤立国家而言,产生的边界效应非常
有限,伊朗人早已习惯了制裁。军事打击则几乎不可能,当时美国深陷阿富汗和伊拉克
两大泥潭,无力再发动第三场战争。
形势发展果然不出伊朗所料,美国发出了战争威胁,联合国也通过了决议,加强经济制
裁。但都是雷声大,雨点小,最终仗也没打起来,制裁措施也没什么大不了,伊朗完全
应付得住。最终,伊朗没付出多大代价,就成功重启了核计划。
但大大出乎伊朗意料的是,核工厂的运行极不稳定,离心机的故障率居高不下,核武器
所急需的浓缩铀迟迟生产不出来。技术人员反复检查,却找不出任何故障原因,离心机
出厂时明明是质量合格,一旦投入运行,却马上就会磨损破坏。
伊朗的核技术是从巴基斯坦买来的,而巴基斯坦的核技术是从法国偷来的,但不管是法
国还是巴基斯坦,都没发生过那么高的离心机故障率。伊朗人实在弄不清出了什么问题。
上图为伊朗总统网站(www.president.ir)所发布的图片,2008年4月8日,内贾德总统
视察纳坦兹核工厂。这张图不经意地泄露了核工厂的问题,左下方的屏幕所显示的那群
绿点,每一个点都代表一台离心机,绿色代表运行正常,绿色丛中的两个灰色小点,则
说明有两台离心机出了故障。
从总统到工程师,每个人的脸上都写满了忧心忡忡。
当伊朗核工厂在跌跌撞撞中挣扎的同时,信息安全界发现了另一件看似不相关的事件。
2010年6月,白俄罗斯的一家安全公司VirusBlokAda受邀为一些伊朗客户检查系统,调
查他们电脑的死机和重启问题。技术人员在客户电脑中发现了一种新的蠕虫病毒。根据
病毒代码中出现的特征字“stux”,新病毒被命名为“震网病毒(stuxnet)”,并加
入到公共病毒库,公布给业界人士研究。
起初,研究人员以为,这不过是千万种流行病毒中的一种。世界上每天都有新病毒产生
,大部分都是青少年的恶作剧,少部分则是犯罪分子用来盗取个人信息的工具,震网病
毒也许只是其中之一。但进一步的深入研究却让他们瞠口结舌:震网的复杂度远远出乎
人们的意料,它是当时所发现的最精妙、最复杂的病毒,没有之一。
首先,它利用了4个Windows零日漏洞。零日漏洞是指软件中刚刚被发现、还没有被公开
或者没有被修补的漏洞。零日漏洞可以大大提高电脑入侵的成功率,具有巨大的经济价
值,在黑市上,一个零日漏洞通常可以卖到几十万美元。即使是犯罪集团的职业黑客,
也不会奢侈到在一个病毒中同时用上4个零日漏洞。仅此一点,就可以看出该病毒的开
发者不是一般黑客,它具备强大的经济实力。并且,开发者对于攻击目标怀有志在必得
的决心,因此才会同时用上多个零日漏洞,确保一击得手。
其次,它具备超强的USB传播能力。传统病毒主要是通过网络传播,而震网病毒大大增
强了通过USB接口传播的能力,它会自动感染任何接入的U盘。在病毒开发者眼中,似乎
病毒的传播环境不是真正的互联网,而是一个网络连接受到限制的地方,因此需要靠
USB口来扩充传播途径。
最奇怪的是,病毒中居然还含有两个针对西门子工控软件漏洞的攻击,这在当时的病毒
中是绝无仅有的。从互联网的角度来看,工业控制是一种恐龙式的技术,古老的通信方
式、隔绝的网络连接、庞大的系统规模、缓慢的技术变革,这些都让工控系统看上去跟
互联网截然不同。此前从没人想过,在互联网上泛滥的病毒,也可以应用到工业系统中
去。
震网病毒代码片段,安全专家通过反汇编来研究其功能
震网病毒引起了信息安全界的极大兴趣,随着更多专家投入到对它的分析,它的面纱渐
渐揭开——它跟以往流行的病毒完全不一样,这是世界上第一例针对工控系统的病毒!
说得再精准一点,它是专门针对伊朗纳坦兹核工厂量身定做的病毒武器。
举个例子。研究人员在病毒代码中发现一个数组,用以描述离心机的级联方式,数组的
最后几位是:20,24,20,16,12,8,4。
把上面那张总统视察图的左下角放大,可以看到在图片最下方,红色箭头所指的位置有
一排灰色小柱子。这些小柱子把上面的绿色小点分为若干块,从右往左数,每块含有的
列数分别是1,2,3,4,5,6,5。每列包含有4个离心机,因此,从这张图可以看出,
纳坦兹核工厂的离心机级联方式,从左往右正是20,24,20,16,12,8,4,与震网病
毒的描述完全相同!
由此可见,震网是有备而来。其开发团队里不仅有软件和网络专家,还有工业控制和核
武器的专家,并且通过某种秘密途径,他们还事先掌握了纳坦兹的设计图纸。它背后的
力量绝不是一般网络犯罪组织可以比拟的。
震网病毒的攻击方式也非常狡猾。当它渗透进入核工厂,它本可以制造一起轻易的工业
灾难,一举摧毁整个工厂。但它却没有马上发作,而是悄悄地潜伏下来,每隔一个月才
攻击一次。攻击期间,它会首先修改西门子工控系统的数据,让离心机看上去运转正常
。但背地里,它却大幅提高离心机的转速,迫使其在临界速度以上运转,从而迅速毁坏
一台离心机。
这时候,如果走到那台遭受攻击的离心机旁边,会听到机器转动声的明显异常,它的声
音频率比正常状态要高得多。但工厂内有几百台离心机在同时运行,巨大的背景噪声往
往会掩盖单台离心机的问题,不仔细听根本注意不到。更何况由于背景噪声太大,工程
师都是带着耳罩进入车间,根本无法辨别那点细小的差别。他们一般还是从控制系统的
屏幕上监控工厂状态,而震网病毒早已控制了监控系统,呈现给操作人员的,是一切正
常的运行状态。
这是一种更加高明的战术,它使得伊朗人疲于奔命。崭新的离心机装进工厂,没用多久
便告损坏,日常的生产工作变成了不停地更换离心机,纳坦兹核工厂始终无法形成稳定
的浓缩铀生产能力。伊朗人更换了数批工程师,却一直找不到问题原因,震网病毒的隐
蔽性太强(即使是今天,震网病毒已经暴露了数年之后,最新的Windows仍然会把它当
作合法程序),他们从没发现工厂早已被病毒入侵,仍然一味地认定是离心机的质量问
题,白白损失了几年时光。
研究人员认为,由于震网病毒,伊朗核计划至少推迟了两年多。
伊朗布什尔核电站,原计划2008年发电,由于缺乏核燃料,推迟到2010年才实际运行
伊朗到底是什么时候才发现中毒的,外界不得而知。2010年,震网病毒公布后,引起了
信息安全界的轰动,经过许多专家的深入研究,它针对纳坦兹核工厂的攻击意图已经被
揭露成了司马昭之心。但即便如此,伊朗仍然矢口否认核工厂遭到了攻击。当然,伊朗
到底是真的认为自己工厂固若汤金,还是出于某种宣传策略而拒不承认,外界同样也不
得而知了。
受害一方不肯承认,作案一方同样也没人出来领功。开发像震网这样一款高度复杂的病
毒,对资金、人才、情报、组织等各方面都有极高的要求,再加上其独特的攻击目标设
定,世界上有这种能力和动机的,只有美国或以色列政府。但美国和以色列并不承认自
己与此有关,从病毒代码中也找不出什么证据能牵涉到美以两国,外界也只能停留在猜
测而已。震网病毒如同一件孤独的凶器,不知道谁制造了它,也不知道它杀害过谁,外
界只能从那锋利的刀刃推测它可怕的战斗力。
直到2012年,伊朗核问题波澜已定,一些美国退休官员才向《纽约时报》透露,针对伊
朗核工厂的攻击,是由布什总统发起的、经过奥巴马总统大力推动的、一场精心策划的
网络战争。
震网病毒版本,它跨越两位总统任期,经过了七年的持续开发和改进
2006年伊朗重启核计划时,形势正如伊朗所料,美国的选择并不多。美军已经占领了伊
拉克,却迟迟找不到传说中的大规模杀伤性武器,布什总统在国内国际政治上都处于被
动局面,没有足够的政治能量再次以消灭核武器之名发动一场伊朗战争。但如果不解决
伊朗核问题,又无法对以色列交待,因为伊朗一旦拥有核武器,首当其冲的使用目标必
定是以色列,以色列感受到极大威胁。以色列一再表态,要像1981年空袭伊拉克核反应
堆一样,也对纳坦兹核工厂来一场外科手术式的打击,将伊朗核计划消灭在萌芽状态。
如果任由以色列空袭伊朗,这无疑又将搅乱中东局势,使地区纷争进一步升级,当地的
反美情绪也会更加狂热化。因此,当时的美国夹在以色列和伊朗之间左右为难。
万般无奈之下,布什总统接受了中央情报局的一个建议,向纳坦兹核工厂传播一点病毒
。其初始目的,不过是给伊朗人制造一点麻烦,迟滞其核武器的制造进程,争取多一点
时间,等到形势变得有利时再着手解决伊朗核问题。
为了安抚以色列,中央情报局拉上以色列情报部门一块儿干,以期把他们的注意力从空
袭转向病毒。没想到,以色列态度很积极,还顺手献上一份厚礼:他们的间谍偷到了纳
坦兹核工厂的图纸!美国人喜出望外,立即决定升级原计划,搞一场大的。
病毒的目标从搞点小破坏,升级为感染全部设备,控制整个工厂。为了确保计划万无一
失,美国人还按照图纸,造了一座模拟的核工厂。美国和以色列招募了一批顶级的黑客
和核工程专家,在这片模拟战场上对症下药,针对其薄弱环节设计病毒,并且在实际运
行中反复测试,反复改进。
布什总统任期快要结束的时候,病毒武器开发完成,测试结果非常成功。美国政府和中
央情报局的首脑一起开会,讨论将其部署到实战中去。那场会开得并不轻松,与会者明
白,病毒攻击势在必行,但同时他们也明白,这即将开启一个网络战争的时代。从前的
病毒,其破坏不过是窃取一点数据,或者让电脑死机,总之都是电脑中来,电脑中去,
限制在互联网中。这个病毒将第一次闯出潘多拉魔盒,杀进我们的现实世界,控制和破
坏传统的机器设备。
这种攻击方式一旦传播开来,各国必将争相效仿,一场网络攻击的军备竞赛即将拉开帷
幕。
当时的中央情报局局长迈克尔·海登形容会议气氛说:“我们是在跨越卢比孔河。”
公元前49年,凯撒渡过卢比孔河,进攻罗马元老院,开启了罗马帝国时代。后世用“跨
越卢比孔河”形容对历史影响深远的行动、极其艰巨的决定。
关于震网病毒是怎样传播进纳坦兹核工厂的,广为流传的一个说法是,美国情报部门调
查了核工厂工程师的背景,发现其中一个工程师特别喜欢钓鱼。于是他们派出一个特工
,伪装成钓鱼爱好者,跟那位工程师交上了朋友。两人熟悉以后,特工给工程师发送一
份邮件,邮件的内容是一张被震网病毒感染的钓鱼图片,工程师一打开图片,他的私人
电脑就被感染了,并且随后感染到他的U盘。后来的某一天,那个工程师在工厂内使用
了一次被感染的U盘,病毒就此传进了核工厂内,一步步地感染到所有设备,并且控制
了离心机的运行。
这种说法未经证实,其中有一些显然是附会上去的。例如钓鱼,其实“钓鱼”在信息安
全界是一个专有名词,是指架设一个假的银行或社交媒体的网站,引诱用户输入其信用
卡或个人账户的帐号和密码,从而窃取个人信息。在这个故事里,“钓鱼”从喻体转回
本体,变成了一种真实的活动,显然是以讹传讹了。
但有一点是研究者所公认的:病毒必定是通过U盘传进工厂的。核工厂跟大部分工程设
施一样,内部的控制网络跟外部互联网是完全隔离的,彻底断绝从互联网上发动的攻击
。病毒根本无法从网络连接传进去,唯一可能的途径就是内部设备上的USB接口。这一
结论,从震网病毒特意加强的USB传播能力也能得到证实。病毒开发者拥有一座模拟工
厂,在实际测试中,他们必定也早已发现,USB口才是唯一的突破口。
至于具体的传播者,美国人自然不肯透露。但据研究者推测,不大可能是无意中掉入圈
套的工程师,倒更有可能是被收买的内部人员。因为病毒版本更新比较频繁,而U盘的
使用是偶尔的、不定期的,靠无意中的USB感染,不能保证新的病毒版本及时传入工厂。
病毒的频繁更新非常重要,它使得每隔一段时期,故障的发作形式就会变化。在美国的
模拟工厂中,病毒开发者一直试验着各种破坏方式。相应地,在伊朗的真实工厂,离心
机也不停变换着报废原因,时而是转子磨损,时而是压力阀损坏,繁复多变,不一而足
。伊朗人只能看到故障频发,却因为故障类型变化无常,始终无法积累足够的经验,搞
不清到底是出了什么毛病。核工厂频频停工检修,生产计划被彻底打乱了。
2013年日内瓦会议,伊朗宣布停止生产浓缩铀
一种新型的战争方式诞生了!
通过网络攻击,美以两国成功地破坏了伊朗核计划。而且,这场战争的战果比他们预期
的还要大。
首先,网络战争是一种持续性的破坏。传统的空袭轰炸,或派遣特工小分队炸毁核工厂
,这些战斗轰轰烈烈,很具有戏剧性,而网络攻击悄无声息,也不怎么吸引眼球。但相
对而言,它却具有更好的破坏效果。当今时代,工业生产效率大大提高,机器设备的生
产速度极快,伊朗为了制造浓缩铀,准备了五万台离心机,炸掉一座工厂,他们马上就
能再造一座。反倒是高科技的暗中破坏,像震网病毒的缓慢“绞杀”,更令敌人无所适
从。虽然伊朗人拥有足够的离心机,但在找出纳坦兹的故障原因之前,他们也不敢贸然
上马新的工厂。
技术上的压制比火力上的压制更加彻底,敌人更加没有还手之力。
网络战争的另一大优点,是其隐蔽性。虽然研究者一致公认,震网病毒的开发者非美国
、以色列莫属。但美以两国始终不予承认,伊朗如同吃了哑巴亏,没办法提出任何抗议
,更不能像遭到空袭那样,发动舆论声讨、群众游行、乃至军事报复等反击措施。伊朗
官方的反应,反而是否认核工厂遭到任何病毒攻击。就这样,美国既达到了军事目标,
又没有付出政治、舆论上的代价,可谓面子、里子二者兼得。
作为第一件经过实战检验的病毒武器,震网病毒正式开启了网络战争时代的大门。
下一场战争会怎么打?没人能做预料。但可以肯定的是,双方会围绕国防、工业等关键
设施的控制权,展开激烈的的网络争夺战。战争将不仅仅局限于遥远的前线,也不仅仅
打击军用设施,从停水、停电、红绿灯失灵、电话打不通之类的生活混乱,到火车出轨
、大坝决堤、核电站泄漏之类的大规模灾难,一切都有可能发生。科技与网络已经深深
渗入我们的生活,我们越是依赖它们,就越容易受到它们的伤害。当网络受到敌方攻击
,设施遭到敌人劫持,它们就会变成一把刺向我们自身的尖刀。
未雨绸缪,世界各国都已在为未来的战争暗中准备。据《华尔街日报》报道,伊朗也入
侵了美国能源公司,并且具备了干扰和破坏美国电网的能力。此举怀疑是该国对于遭到
震网病毒攻击的报复。
不过,无论是从攻击规模,还是攻击能力方面,伊朗的网络部队都不是美国人真正担心
的对手。能够迫使美国在网络战争中作出反击的,还是另一个网络巨人。
2014年5月,美国联邦调查局公开通缉5名中国军官,罪名是网络攻击、经济诈骗、入侵
美国核电站和其它工业设施等。这是美国第一次以网络犯罪的名义通缉外国人。 | s******n
发帖数: 518 | 2 中国批美国网络间谍报告“贼喊捉贼”
2014年 6月 10日
分享平台 微博
分享平台 人人网
分享平台 电邮
分享
图片版权 REUTERS
Image caption “云反击”报告说,中国军方的网络攻击主要针对美国空间、航天和通
讯部门。
中国外交部发言人华春莹周二(6月10日)反驳美国最新报告指责中国军方网络间谍活
动。
华春莹说,“对美方这种贼喊捉贼的做法很不以为然。”
“美国不必把自己装扮成受害者,美方不思反省,不思检点,反而仍在无理指责和攻击
别国,这样的做法不具任何建设性。”
此前,美国一家私人网络安全公司发表报告称,为了加快中国卫星和太空项目的发展,
中国军方网络部队对西方国家展开了具有深远影响的网络间谍活动。
网络安全公司“云反击”(CrowdStrike)发言人说,位于上海的中国人民解放军61486
部队从2007年开始,便对西方国家机构和防务承包商的网络进行了攻击。
路透社引述“云反击”报告说,中国军方的网络攻击主要针对美国空间、航天和通讯部
门。中方的网络间谍活动“主要针对Adobe Reader和微软办公软件Microsoft Office的
应用软件,并通过有针对性的电邮攻击去安装特定的恶意软件”。
纽约时报表示,“云反击”网络安全公司的研究人员相信,上海一座12层楼高的白色塔
楼是中国人民解放军军方黑客的总部。
报道引述该公司研究人员说,中方发送的电邮攻击看起来像是一个位于法国图卢兹的瑜
伽馆的介绍资料。图卢兹是欧洲航天工业中心。一旦受害者打开这个电邮,黑客便可以
绕过受害者的安全网络,并偷走严密防守的卫星技术资料。
“云反击”研究人员声称,发送瑜伽馆介绍资料不过是中国网军部队惯常使用的一种黑
客手法。
今年5月,美国司法部史无前例地指控5名中国军官向美国进行网络攻击,从事经济间谍
及窃取商业机密。中国外交部随后发表声明,强烈反驳美方捏造事实,并反指美国才是
全球最大网络攻击来源。
华春莹在周二的外交部记者会上也再次批评“美国政府和其相关部门长期以来对包括中
国在内的很多外国政要、个人和企业进 行了大规模、有组织的网络窃密和监听监控活
动,甚至达到了无孔不入、无所不用其极的地步。” | s******n
发帖数: 518 | 3 美国帝国主义是一切罪恶的最根本来源,
但是还经常打扮成处女的样子,
到处讨罚别人 |
|
|
|
|
|
|
