震網

震網（Stuxnet），又稱作超級工廠，是一種Windows平台上的電腦蠕蟲，2010年6月首次被白俄羅斯安全公司VirusBlokAda（英語：VirusBlokAda）發現，其名稱是從代碼中的關鍵字得來，它的傳播從2009年6月或更早開始，首次大範圍被報道的是Brian Krebs的安全網誌。它是首個針對工業控制系統的蠕蟲病毒，^[1]利用西門子公司控制系統（SIMATIC WinCC/Step7）存在的漏洞感染數據採集與監控系統（SCADA），^[2]能向可程式化邏輯控制器（PLC）寫入代碼並將代碼隱藏。^[3]這次事件是有史以來第一個包含PLC Rootkit的電腦蠕蟲，^[4]也是已知的第一個以關鍵工業基礎設施為目標的蠕蟲。^[5]此外，該蠕蟲的可能目標為伊朗使用西門子控制系統的高價值基礎設施。^[6][7]據報道，該蠕蟲病毒可能已感染並破壞了伊朗納坦茲的核設施，^[8][9]並最終使伊朗的布什爾核電站推遲啟動。^[10]不過西門子公司表示，該蠕蟲事實上並沒有造成任何損害。^[11]

一個被設計為代表「震網」病毒的標誌。

賽門鐵克安全響應中心進階主任凱文·霍根（Kevin Hogan）指出，約60%的被感染的個人電腦在伊朗，這意味着其目標是當地的工業基礎設施。^[12]俄羅斯安全公司卡巴斯基實驗室發佈了一個聲明，認為Stuxnet蠕蟲「是一種十分有效並且可怕的網絡武器原型，這種網絡武器將導致世界上新的軍備競賽，一場網絡軍備競賽時代的到來。」並認為「除非有國家和政府的支援和協助，否則很難發動如此規模的攻擊。」伊朗成為了真實網絡戰的第一個目標。^{[13][14][15][16]}

歷史

2010年6月中旬，該病毒首次由安全公司VirusBlokAda發現，其根源可追溯到2009年6月。^[3]Stuxnet蠕蟲的最終編譯時間約為2010年2月3日。^[17]

2012年，《紐約時報》報導，美國官員承認這個病毒是由美國國家安全域在以色列協助下研發，以奧林匹克網絡攻擊行動（英語：Operation Olympic Games）為計劃代號，目的在於阻止伊朗發展核武^[18]。

活動

自動化軟件Step 7與Siemens PLC之間的正常通訊

Step 7與Siemens PLC的通訊被Stuxnet劫持

Stuxnet同時利用微軟和西門子公司產品的7個最新漏洞進行攻擊。這7個漏洞中，MS08-067、MS10-046、MS10-061、MS10-073、MS10-092等5個針對Windows系統（其中MS10-046、MS10-061、MS10-073、MS10-092四個屬於0day漏洞），2個針對西門子SIMATIC WinCC（英語：SIMATIC WinCC）系統。^[19][13]

它最初通過感染USB快閃記憶體驅動器傳播，然後攻擊被感染網絡中的其他WinCC電腦。一旦進入系統，它將嘗試使用預設密碼來控制軟件。^[3]但是，西門子公司不建議更改預設密碼，因為這「可能會影響工廠運作。」^[20]

該蠕蟲病毒的複雜性非常罕見，病毒編寫者需要對工業生產過程和工業基礎設施十分了解。^[1][3]利用Windows的零日漏洞數量也不同尋常，因為Windows零日漏洞的價值，黑客通常不會浪費到讓一個蠕蟲同時利用四個漏洞。^[6]Stuxnet的體積較大，大約有500KB，^[21]並使用了數種程式語言（包括C語言和C++），通常惡意軟件不會這樣做。^[1][3]Stuxnet還通過偽裝成Realtek與JMicron兩家公司的數碼簽章，以繞過安全產品的檢測並在短期內不被發現。^[21][22]它也有能力通過P2P傳播。^[21][23]這些功能將需要一個團隊，以及檢查惡意軟件不會使PLC崩潰。在西門子系統維護和故障排除方面擁有多年的經驗的埃里克·拜爾斯（Eric Byres）告訴《連線》，編寫這些代碼需要很多人工作幾個月，甚至幾年。^[21]這樣大費周章的設計，也是該軟件被懷疑有軍事背景的因素。

移除

西門子公司已經發佈了一個Stuxnet的檢測和清除工具。西門子建議檢測到感染的客戶聯絡客戶支援，並建議客戶安裝微軟的漏洞修補程式並禁用第三方USB裝置。^[24]

該蠕蟲病毒可重新編程外部可程式化邏輯控制器（PLC）的能力使得移除過程變得更為複雜。賽門鐵克的Liam O'Murchu警告說，僅修復Windows系統可能無法完全解決感染問題，他建議全面檢查PLC。此外據推測，錯誤地移除該蠕蟲可導致大量損失。^[25]

受影響的國家

賽門鐵克的研究表明，截至2010年8月6日，受影響的國家主要有：^[26]

受到Stuxnet影響的國家

國家	受感染電腦比例
伊朗	58.85%
印度尼西亞	18.22%
印度	8.31%
阿塞拜疆共和國	2.57%
美國	1.56%
巴基斯坦	1.28%
其他國家	9.2%

據報道，在Stuxnet襲擊之後，伊朗「增強了」其網絡戰能力，並被懷疑對美國銀行進行了報復性襲擊。^[27]

參見條目

• 美國國家安全域
• 電子作戰
• 資訊戰
• 火焰病毒
• 奧林匹克網絡攻擊行動（英語：Operation Olympic Games）
• 梅林行動（英語：Operation Merlin）
• 控制系統安全性
• 幽靈網

參考文獻

1. Robert McMillan. Siemens: Stuxnet worm hit industrial systems. Computerworld. 16 September 2010 [16 September 2010]. （原始內容存檔於2012年5月25日）.
2. Iran's Nuclear Agency Trying to Stop Computer Worm. Tehran: Associated Press. 2010-09-25 [2010-09-25]. （原始內容存檔於2010-09-25）.
3. Gregg Keizer. Is Stuxnet the 'best' malware ever?. Infoworld. 16 September 2010 [16 September 2010]. （原始內容存檔於2012年12月5日）.
4. Last-minute paper: An indepth look into Stuxnet. Virus Bulletin. [2010-10-08]. （原始內容存檔於2016-02-03）.
5. Stuxnet worm hits Iran nuclear plant staff computers. BBC News. [2010-10-08]. （原始內容存檔於2021-04-14）.
6. Fildes, Jonathan. Stuxnet worm 'targeted high-value Iranian assets'. BBC News. 2010-09-23 [2010-09-23]. （原始內容存檔於2021-04-14）.
7. Stuxnet virus: worm 'could be aimed at high-profile Iranian targets’. The Daily Telegraph. 2010-09-23 [2010-09-28]. （原始內容存檔於2021-04-14）.
8. Ethan Bronner & William J. Broad. In a Computer Worm, a Possible Biblical Clue. NYTimes. 2010-09-29 [2010-10-02]. （原始內容存檔於2021-04-15）.
9. Iran Confirms Stuxnet Damage to Nuclear Facilities. Tikun Olam. 2010-09-25 [2010-09-28]. （原始內容存檔於2012-03-04）.
10. Software smart bomb fired at Iranian nuclear plant: Experts. Economictimes.indiatimes.com. 2010-09-24 [2010-09-28]. （原始內容存檔於2021-11-14）.
11. ComputerWorld. Siemens: Stuxnet worm hit industrial systems. Computerworld. September 14, 2010 [3 October 2010]. （原始內容存檔於2013-12-15）.
12. 存档副本. [2010-10-08]. （原始內容存檔於2021-04-14）.
13. 卡巴斯基实验室深度分析Stuxnet蠕虫. Kaspersky Lab. 2010年9月25日 [2010年10月8日]. （原始內容存檔於2010年9月29日）.
14. 存档副本. [2010-10-08]. （原始內容存檔於2010-11-20）.
15. 存档副本. [2010-10-08]. （原始內容存檔於2010-09-29）.
16. http://www.mymacaddress.com/iran-first-victim-of-cyberwar/^{[永久失效連結]}
17. Aleksandr Matrosov, Eugene Rodionov, David Harley, and Juraj Malcho. Stuxnet under the microscope (PDF). [24 September 2010]. （原始內容 (PDF)存檔於2010年10月3日）.
18. 陳曉莉. 報導：美國政府涉及開發與散布Stuxnet蠕蟲. iThome. [2012-06-04]. （原始內容存檔於2013-07-31）.
19. 计算机病毒预警：当心U盘传播Stuxnet病毒. 中國政府網. 2010年9月27日 [2010年10月8日]. （原始內容存檔於2016年9月20日）.
20. Tom Espiner. Siemens warns Stuxnet targets of password risk. cnet. 20 July 2010 [17 September 2010]. （原始內容存檔於2011-01-09）.
21. Kim Zetter. Blockbuster Worm Aimed for Infrastructure, But No Proof Iran Nukes Were Target. Wired. 2010-09-23 [2010-09-24]. （原始內容存檔於2012-12-17）.
22. Kaspersky Lab provides its insights on Stuxnet worm. Kaspersky Lab. 2010-09-24 [2010-09-27]. （原始內容存檔於2016-03-04）.
23. Liam O Murchu. Stuxnet P2P component. Symantec. 2010-09-17 [2010-09-24]. （原始內容存檔於2019-01-17）.
24. SIMATIC WinCC / SIMATIC PCS 7: Information concerning Malware / Virus / Trojan. Siemens. [24 September 2010]. （原始內容存檔於2014-11-29）.
25. Siemens: Stuxnet Worm Hit Industrial Systems. IDG News. [2010-10-09]. （原始內容存檔於2012-07-28）.
26. Factbox: What is Stuxnet?. [30 September 2010]. （原始內容存檔於2020-12-07）.
27. "Iran denies hacking into American banks （頁面存檔備份，存於互聯網檔案館）" Reuters, 23 September 2012

外部連結

• Siemens - Industry Automation and Drive Technologies - Service& Support - SIMATIC WinCC / SIMATIC PCS 7: Information concerning Malware / Virus / Trojan
• Stuxnet Under the Microscope, an analysis of Stuxnet white paper, ESET
• Security analysis of Stuxnet （頁面存檔備份，存於互聯網檔案館）
• Exploring Stuxnet’s PLC Infection Process （頁面存檔備份，存於互聯網檔案館）, Symantec
• Super Nuclear Worm Invades Kazakhstan - Hollywood Salivates
• Stuxnet Questions and Answers （頁面存檔備份，存於互聯網檔案館）, F-Secure
• Stuxnet: Fact vs. theory^{[失效連結]} by Elinor Mills for CNET News October 5, 2010
• Stuxnet: Cyber Attack on Iran （頁面存檔備份，存於互聯網檔案館） - PressTV video