瓦努阿圖——一個絕大多數(shù)人都沒怎么聽說過的太平洋島國,最近突然來到了世界的視野中心。由于遭受網(wǎng)絡攻擊,一個多月來,瓦努阿圖整個國家的政府辦公被迫重新回到了紙和筆的時代。
自今年11月初以來,瓦努阿圖政府一直處于癱瘓狀態(tài):政府官員們無法訪問政府的電子郵件賬戶,公民無法更新他們的駕駛執(zhí)照或繳稅,醫(yī)療和緊急信息也無法訪問。由于政府部門的網(wǎng)絡和服務器陷入癱瘓,政府的工作人員只好重新翻出紙筆以及打字機來維持工作。
瓦努阿圖政府承認在11月初檢測到中央連接系統(tǒng)存在漏洞。而截止目前,這個國家的政府依然沒有確認這個漏洞的性質(zhì)。據(jù)一些媒體報道,在一個月前,該國財政部收到了含有可疑軟件的文件,隨后該惡意軟件以極快的速度,破壞了幾乎所有的政府電子郵件網(wǎng)絡和網(wǎng)站,進而導致這個國家的政府部門通信陷入癱瘓。
通常情況下,黑客的攻擊目標主要是面向個人或者企業(yè),而像這種面向國家政府層面的網(wǎng)絡攻擊,實在是少之又少。放眼望去,上一個從國家層面被黑客“黑”掉的還是2010年的伊朗。而伊朗的那次的“被黑”,標志著人類第一次進入到了網(wǎng)絡戰(zhàn)爭實戰(zhàn)時代。沒有傳統(tǒng)戰(zhàn)爭中的大炮、導彈、艦艇、轟炸機;沒有宣戰(zhàn),沒有議和,沒有死傷;伊朗政府就這樣被一個小小的U盤悄悄打敗。正是這個小小的U盤,讓當時伊朗的6萬臺主機感染病毒,并且感染了伊朗超過27000個網(wǎng)絡。
最重要的是,這個U盤像《三體》里的“智子”一樣,鎖死了伊朗的核工業(yè)達數(shù)年之久。從這個U盤傳播出去的就是后來震驚全球的“震網(wǎng)”病毒。
故事要從2006年說起。
但是出乎伊朗官方意料的是,濃縮鈾的生產(chǎn)極不順利,生產(chǎn)濃縮鈾的離心機故障率奇高,以至于在很短的時間內(nèi)就損失了超過1000臺離心機。
核工廠因此多次停工,而伊朗的濃縮鈾分離能力也大幅下降。由于無法形成穩(wěn)定的濃縮鈾生產(chǎn)能力,伊朗的核工業(yè)發(fā)展舉步維艱。伊朗工程師們一直以為是離心機的質(zhì)量問題,于是將幾乎所有的心力全部集中在離心機的質(zhì)量提升上,由此白白浪費了數(shù)年的時光。
時間來到2010年6月,白俄羅斯一家小公司 VirusBlockAda 的安全研究人員意外地發(fā)現(xiàn)了一種能感染可移動存儲設備的蠕蟲病毒。
根據(jù)病毒代碼中出現(xiàn)的特征字“stux”,新病毒被命名為“震網(wǎng)病毒”(stuxnet),這也第一次讓這款強大異常的網(wǎng)絡武器有了屬于自己的名字。
隨著進一步研究,發(fā)現(xiàn)“震網(wǎng)”的復雜程度遠超想象。到了7月份,這個復雜且詭異的病毒引發(fā)了國際主流安全廠商和安全研究者的全面關注??ò退够?、賽門鐵克、安天等安全廠商,Ralph Langne等著名安全研究者,以及多國的應急組織和研究機構(gòu),紛紛投入到了全面的分析接力中。最后,安全專家們給出了結(jié)論:"震網(wǎng)"是當時人類所發(fā)現(xiàn)的最復雜、最精妙的網(wǎng)絡病毒。并且它跟以往流行的病毒完全不一樣,這是世界上第一例被發(fā)現(xiàn)針對工業(yè)控制系統(tǒng)的病毒。
到了2010年11月,面對大批大批報廢的濃縮鈾離心機殘骸,后知后覺的伊朗工程師們才突然意識到了情況不對。當時的伊朗總統(tǒng)艾哈邁迪內(nèi)賈德不得已只能扭扭捏捏地向世界公開承認:“一種計算機病毒對我國(核)離心機制造了一些問題,”隨后,伊朗全面暫停了納坦茲核工廠的鈾濃縮生產(chǎn)。
隨著時間推移,更多關于“震網(wǎng)”病毒的謎團被逐漸揭開:“震網(wǎng)”病毒利用了包括遠程執(zhí)行、文件解析、權(quán)限提升等5個Windows操作系統(tǒng)的漏洞。而這5個漏洞中的4個,是首次被利用的漏洞,是貨真價實的零日漏洞。所謂的“零日漏洞”,就是操作系統(tǒng)的開發(fā)者或者安全公司尚未發(fā)現(xiàn)的漏洞,萬一被心懷不軌的人發(fā)現(xiàn)并且利用,那后果不堪設想。通常情況下,每年互聯(lián)網(wǎng)中會有1200萬種惡意代碼出現(xiàn),而每年全球出現(xiàn)的的零日漏洞在10個左右。
如此一對比,“震網(wǎng)”一個病毒就利用了4個零日漏洞,可見這個病毒的夸張程度。
“震網(wǎng)”病毒主要通過伊朗使用的、西門子公司基于Windows操作系統(tǒng)搭建的工業(yè)控制軟件中的漏洞迅速感染全網(wǎng)。并且可以輕松做到對工業(yè)控制軟件中的信息數(shù)據(jù)和控制指令進行劫持。"震網(wǎng)"潛入伊朗核設施后,先記錄系統(tǒng)正常運轉(zhuǎn)的信息,等待離心機注滿核材料。制造濃縮鈾,需要離心機以近乎音速的速度高速旋轉(zhuǎn),同時還需要提高溫度,稍有不慎就會引起爆炸。
潛伏13天后,“震網(wǎng)”一邊向控制系統(tǒng)發(fā)布此前記錄的正常運轉(zhuǎn)的信息,一邊指揮離心機瘋狂運轉(zhuǎn),突破其最大轉(zhuǎn)速造成其物理損毀。我們知道,政府部門或者工業(yè)互聯(lián)網(wǎng)通常會和外部網(wǎng)絡實現(xiàn)物理隔離,那"震網(wǎng)"是如何透過那堵“不透風的墻”并成功感染沙漠底下的幾千臺計算機的呢?這就不得不說黑客們除了寫代碼之外更重要的一項技能:社會工程學。
根據(jù)后來荷蘭情報機構(gòu)的解密文件披露:荷蘭的情報機構(gòu)在美國CIA和以色列摩薩德的要求下,聯(lián)系到了一個伊朗核工程師,并將它成功“策反”,讓這位間諜工程師使用U盤將病毒成功注入了伊朗工業(yè)互聯(lián)網(wǎng)。就是這個小小的U盤,最終讓伊朗的核工業(yè)發(fā)展停滯數(shù)年。
如前文所描述,“震網(wǎng)”病毒是個為伊朗核工業(yè)量身定制的病毒,它成功實現(xiàn)了干擾伊朗核發(fā)展的目標,但是,它的遺毒并沒有在伊朗核武器工廠止步。根據(jù)“震網(wǎng)”運行原理,只要是使用了這款西門子工業(yè)控制軟件的系統(tǒng)它都可以攻擊,不僅是核設施,大型工廠,國家電網(wǎng),證券交易等都可能成為“震網(wǎng)”病毒的攻擊目標。
2011年1月26日,俄羅斯常駐北約代表表示,這種病毒可能給伊朗布什爾核電站造成嚴重影響,導致有毒的放射性物質(zhì)泄漏。到了2013年,俄羅斯著名安全專家尤金·卡巴斯基披露,一名俄羅斯宇航員攜帶的優(yōu)盤已經(jīng)導致國際空間站感染病毒,除此之外,臭名昭著的“震網(wǎng)”病毒也已經(jīng)感染了俄羅斯的一座核電廠。“震網(wǎng)”感染了全球超過45000個網(wǎng)絡,60%的個人電腦感染了這種病毒。“震網(wǎng)”病毒被揭露時,安全人員幾乎肯定只有美國才有這個實力制作出這種精密設計的程序,同時只有以色列有這種強烈的動機。后期荷蘭情報機構(gòu)的解密也確實證實了美國和以色列主導了此次“震網(wǎng)”病毒擴散,
但是,美國政府至今沒有承認過對任何國家使用網(wǎng)絡攻擊。根據(jù)斯諾登在12年的揭秘:美國在使用網(wǎng)絡武器時,都需要總統(tǒng)的同意。而在現(xiàn)實世界中,處于同等地位的只有——核武器。“震網(wǎng)”病毒的故事距今已經(jīng)時隔10年,“震網(wǎng)”病毒目前已經(jīng)在網(wǎng)絡世界銷聲匿跡,但是各個國家網(wǎng)絡戰(zhàn)爭的“軍備競賽”從來都沒有停止。國家之間的網(wǎng)絡交鋒一直在繼續(xù),在我們可預見的將來,賽博空間里這個“矛與盾”的故事還會一直演下去。
