瓦努阿圖——一個絕大多數人都沒怎么聽說過的太平洋島國,最近突然來到了世界的視野中心。由于遭受網絡攻擊,一個多月來,瓦努阿圖整個國家的政府辦公被迫重新回到了紙和筆的時代。
自今年11月初以來,瓦努阿圖政府一直處于癱瘓狀態:政府官員們無法訪問政府的電子郵件賬戶,公民無法更新他們的駕駛執照或繳稅,醫療和緊急信息也無法訪問。由于政府部門的網絡和服務器陷入癱瘓,政府的工作人員只好重新翻出紙筆以及打字機來維持工作。
瓦努阿圖政府承認在11月初檢測到中央連接系統存在漏洞。而截止目前,這個國家的政府依然沒有確認這個漏洞的性質。據一些媒體報道,在一個月前,該國財政部收到了含有可疑軟件的文件,隨后該惡意軟件以極快的速度,破壞了幾乎所有的政府電子郵件網絡和網站,進而導致這個國家的政府部門通信陷入癱瘓。
通常情況下,黑客的攻擊目標主要是面向個人或者企業,而像這種面向國家政府層面的網絡攻擊,實在是少之又少。放眼望去,上一個從國家層面被黑客“黑”掉的還是2010年的伊朗。而伊朗的那次的“被黑”,標志著人類第一次進入到了網絡戰爭實戰時代。沒有傳統戰爭中的大炮、導彈、艦艇、轟炸機;沒有宣戰,沒有議和,沒有死傷;伊朗政府就這樣被一個小小的U盤悄悄打敗。正是這個小小的U盤,讓當時伊朗的6萬臺主機感染病毒,并且感染了伊朗超過27000個網絡。
最重要的是,這個U盤像《三體》里的“智子”一樣,鎖死了伊朗的核工業達數年之久。從這個U盤傳播出去的就是后來震驚全球的“震網”病毒。
故事要從2006年說起。
但是出乎伊朗官方意料的是,濃縮鈾的生產極不順利,生產濃縮鈾的離心機故障率奇高,以至于在很短的時間內就損失了超過1000臺離心機。
核工廠因此多次停工,而伊朗的濃縮鈾分離能力也大幅下降。由于無法形成穩定的濃縮鈾生產能力,伊朗的核工業發展舉步維艱。伊朗工程師們一直以為是離心機的質量問題,于是將幾乎所有的心力全部集中在離心機的質量提升上,由此白白浪費了數年的時光。
時間來到2010年6月,白俄羅斯一家小公司 VirusBlockAda 的安全研究人員意外地發現了一種能感染可移動存儲設備的蠕蟲病毒。
根據病毒代碼中出現的特征字“stux”,新病毒被命名為“震網病毒”(stuxnet),這也第一次讓這款強大異常的網絡武器有了屬于自己的名字。
隨著進一步研究,發現“震網”的復雜程度遠超想象。到了7月份,這個復雜且詭異的病毒引發了國際主流安全廠商和安全研究者的全面關注。卡巴斯基、賽門鐵克、安天等安全廠商,Ralph Langne等著名安全研究者,以及多國的應急組織和研究機構,紛紛投入到了全面的分析接力中。最后,安全專家們給出了結論:"震網"是當時人類所發現的最復雜、最精妙的網絡病毒。并且它跟以往流行的病毒完全不一樣,這是世界上第一例被發現針對工業控制系統的病毒。
到了2010年11月,面對大批大批報廢的濃縮鈾離心機殘骸,后知后覺的伊朗工程師們才突然意識到了情況不對。當時的伊朗總統艾哈邁迪內賈德不得已只能扭扭捏捏地向世界公開承認:“一種計算機病毒對我國(核)離心機制造了一些問題,”隨后,伊朗全面暫停了納坦茲核工廠的鈾濃縮生產。
隨著時間推移,更多關于“震網”病毒的謎團被逐漸揭開:“震網”病毒利用了包括遠程執行、文件解析、權限提升等5個Windows操作系統的漏洞。而這5個漏洞中的4個,是首次被利用的漏洞,是貨真價實的零日漏洞。所謂的“零日漏洞”,就是操作系統的開發者或者安全公司尚未發現的漏洞,萬一被心懷不軌的人發現并且利用,那后果不堪設想。通常情況下,每年互聯網中會有1200萬種惡意代碼出現,而每年全球出現的的零日漏洞在10個左右。
如此一對比,“震網”一個病毒就利用了4個零日漏洞,可見這個病毒的夸張程度。
“震網”病毒主要通過伊朗使用的、西門子公司基于Windows操作系統搭建的工業控制軟件中的漏洞迅速感染全網。并且可以輕松做到對工業控制軟件中的信息數據和控制指令進行劫持。"震網"潛入伊朗核設施后,先記錄系統正常運轉的信息,等待離心機注滿核材料。制造濃縮鈾,需要離心機以近乎音速的速度高速旋轉,同時還需要提高溫度,稍有不慎就會引起爆炸。
潛伏13天后,“震網”一邊向控制系統發布此前記錄的正常運轉的信息,一邊指揮離心機瘋狂運轉,突破其最大轉速造成其物理損毀。我們知道,政府部門或者工業互聯網通常會和外部網絡實現物理隔離,那"震網"是如何透過那堵“不透風的墻”并成功感染沙漠底下的幾千臺計算機的呢?這就不得不說黑客們除了寫代碼之外更重要的一項技能:社會工程學。
根據后來荷蘭情報機構的解密文件披露:荷蘭的情報機構在美國CIA和以色列摩薩德的要求下,聯系到了一個伊朗核工程師,并將它成功“策反”,讓這位間諜工程師使用U盤將病毒成功注入了伊朗工業互聯網。就是這個小小的U盤,最終讓伊朗的核工業發展停滯數年。
如前文所描述,“震網”病毒是個為伊朗核工業量身定制的病毒,它成功實現了干擾伊朗核發展的目標,但是,它的遺毒并沒有在伊朗核武器工廠止步。根據“震網”運行原理,只要是使用了這款西門子工業控制軟件的系統它都可以攻擊,不僅是核設施,大型工廠,國家電網,證券交易等都可能成為“震網”病毒的攻擊目標。
2011年1月26日,俄羅斯常駐北約代表表示,這種病毒可能給伊朗布什爾核電站造成嚴重影響,導致有毒的放射性物質泄漏。到了2013年,俄羅斯著名安全專家尤金·卡巴斯基披露,一名俄羅斯宇航員攜帶的優盤已經導致國際空間站感染病毒,除此之外,臭名昭著的“震網”病毒也已經感染了俄羅斯的一座核電廠。“震網”感染了全球超過45000個網絡,60%的個人電腦感染了這種病毒。“震網”病毒被揭露時,安全人員幾乎肯定只有美國才有這個實力制作出這種精密設計的程序,同時只有以色列有這種強烈的動機。后期荷蘭情報機構的解密也確實證實了美國和以色列主導了此次“震網”病毒擴散,
但是,美國政府至今沒有承認過對任何國家使用網絡攻擊。根據斯諾登在12年的揭秘:美國在使用網絡武器時,都需要總統的同意。而在現實世界中,處于同等地位的只有——核武器。“震網”病毒的故事距今已經時隔10年,“震網”病毒目前已經在網絡世界銷聲匿跡,但是各個國家網絡戰爭的“軍備競賽”從來都沒有停止。國家之間的網絡交鋒一直在繼續,在我們可預見的將來,賽博空間里這個“矛與盾”的故事還會一直演下去。
