概述
震网(Stuxnet),指一种蠕虫病毒。它的复杂程度远超一般电脑黑客的能力。这种震网(Stuxnet)病毒于2010年6月首次被检测出来,是第一个专门定向攻击真实世界中基础(能源)设施的“蠕虫”病毒,比如核电站,水坝,国家电网。互联网安全专家对此表示担心。
“震网”病毒利用了微软视窗操作系统之前未被发现的4个漏洞。通常意义上的犯罪性黑客会利用这些漏洞盗取银行和信用卡信息来获取非法收入。而“震网”病毒不像一些恶意软件那样可以赚钱,它需要花钱研制。这是专家们相信“震网”病毒出自情报部门的一个原因。
据全球最大网络保安公司赛门铁克(Symantec)和微软(Microsoft)公司的研究,近60%的感染发生在伊朗,其次为印尼(约20%)和印度(约10%),阿塞拜疆、美国与巴基斯坦等地亦有小量个案。由于“震网”感染的重灾区集中在伊朗境内。美国和以色列因此被怀疑是“震网”的发明人。这种新病毒采取了多种先进技术,因此具有极强的隐身和破坏力。只要电脑操作员将被病毒感染的U盘插入USB接口,这种病毒就会在神不知鬼不觉的情况下(不会有任何其他操作要求或者提示出现)取得一些工业用电脑系统的控制权。
发现历程
2010年6月,白俄罗斯的一家安全公司VirusBlokAda受邀为一些伊朗客户检查系统,调查他们电脑的死机和重启问题。技术人员在客户电脑中发现了一种新的蠕虫病毒。根据病毒代码中出现的特征字“stux”,新病毒被命名为“震网病毒(stuxnet)”,并加入到公共病毒库,公布给业界人士研究。瑞星专家表示,这是世界上首个专门针对工业控制系统编写的破坏性病毒,它同时利用包括MS10-046、MS10-061、MS08-067等7个最新漏洞进行攻击。
2010年9月,瑞星公司监测到这个席卷全球工业界的病毒已经入侵中国。瑞星反病毒专家警告说,许多大型重要企业在安全制度上存在缺失,可能促进Stuxnet病毒在企业中的大规模传播。
2010年12月15日,一位德国计算机高级顾问表示,“震网”计算机病毒令德黑兰的核计划拖后了两年。这个恶意软件2010年一再以伊朗核设施为目标,通过渗透进“视窗”(Windows)操作系统,并对其进行重新编程而造成破坏。
2011年1月26日,俄罗斯常驻北约代表罗戈津表示,这种病毒可能给伊朗布什尔核电站造成严重影响,导致有毒的放射性物质泄漏,其危害将不亚于1986年发生的切尔诺贝利核电站事故。
2012年6月1日的美国《纽约时报》报道,揭露“震网”病毒起源于2006年前后由美国前总统小布什启动的“奥运会计划”。2008年,奥巴马上任后下令加速该计划。
2013年3月,中国解放军报报道,美国曾利用“震网”蠕虫病毒攻击伊朗的铀浓缩设备,已经造成伊朗核电站推迟发电,目前国内已有近500万网民、及多个行业的领军企业遭此病毒攻击。这种病毒可能是新时期电子战争中的一种武器。震网病毒,截止2011年,感染了全球超过45000个网络,60%的个人电脑感染了这种病毒。
主要特点
起初,研究人员以为,这不过是千万种流行病毒中的一种。世界上每天都有新病毒产生,大部分都是青少年的恶作剧,少部分则是犯罪分子用来盗取个人信息的工具,震网病毒也许只是其中之一。但进一步的深入研究却让他们瞠口结舌:震网的复杂度远远出乎人们的意料,它是当时所发现的最精妙、最复杂的病毒,没有之一。
首先,它利用了4个Windows零日漏洞。零日漏洞是指软件中刚刚被发现、还没有被公开或者没有被修补的漏洞。零日漏洞可以大大提高电脑入侵的成功率,具有巨大的经济价值,在黑市上,一个零日漏洞通常可以卖到几十万美元。即使是犯罪集团的职业黑客,也不会奢侈到在一个病毒中同时用上4个零日漏洞。仅此一点,就可以看出该病毒的开发者不是一般黑客,它具备强大的经济实力。并且,开发者对于攻击目标怀有志在必得的决心,因此才会同时用上多个零日漏洞,确保一击得手。
其次,它具备超强的USB传播能力。传统病毒主要是通过网络传播,而震网病毒大大增强了通过USB接口传播的能力,它会自动感染任何接入的U盘。在病毒开发者眼中,似乎病毒的传播环境不是真正的互联网,而是一个网络连接受到限制的地方,因此需要靠USB口来扩充传播途径。
最奇怪的是,病毒中居然还含有两个针对西门子工控软件漏洞的攻击,这在当时的病毒中是绝无仅有的。从互联网的角度来看,工业控制是一种恐龙式的技术,古老的通信方式、隔绝的网络连接、庞大的系统规模、缓慢的技术变革,这些都让工控系统看上去跟互联网截然不同。此前从没人想过,在互联网上泛滥的病毒,也可以应用到工业系统中去。
