Remove ads

震網Stuxnet),又稱作超級工廠,是一種Windows平台上的電腦蠕蟲,2010年6月首次被白俄羅斯安全公司VirusBlokAda英語VirusBlokAda發現,其名稱是從代碼中的關鍵字得來,它的傳播從2009年6月或更早開始,首次大範圍被報道的是Brian Krebs的安全網誌。它是首個針對工業控制系統的蠕蟲病毒,[1]利用西門子公司控制系統(SIMATIC WinCC/Step7)存在的漏洞感染數據採集與監控系統(SCADA),[2]能向可程式化邏輯控制器(PLC)寫入代碼並將代碼隱藏。[3]這次事件是有史以來第一個包含PLC Rootkit的電腦蠕蟲,[4]也是已知的第一個以關鍵工業基礎設施為目標的蠕蟲。[5]此外,該蠕蟲的可能目標為伊朗使用西門子控制系統的高價值基礎設施。[6][7]據報道,該蠕蟲病毒可能已感染並破壞了伊朗納坦茲的核設施,[8][9]並最終使伊朗的布什爾核電站推遲啟動。[10]不過西門子公司表示,該蠕蟲事實上並沒有造成任何損害。[11]

Thumb
一個被設計為代表「震網」病毒的標誌。

賽門鐵克安全響應中心進階主任凱文·霍根(Kevin Hogan)指出,約60%的被感染個人電腦伊朗,這意味着其目標是當地的工業基礎設施。[12]俄羅斯安全公司卡巴斯基實驗室發佈了一個聲明,認為Stuxnet蠕蟲「是一種十分有效並且可怕的網絡武器原型,這種網絡武器將導致世界上新的軍備競賽,一場網絡軍備競賽時代的到來。」並認為「除非有國家和政府的支援和協助,否則很難發動如此規模的攻擊。」伊朗成為了真實網絡戰的第一個目標。[13][14][15][16]

Remove ads

歷史

2010年6月中旬,該病毒首次由安全公司VirusBlokAda發現,其根源可追溯到2009年6月。[3]Stuxnet蠕蟲的最終編譯時間約為2010年2月3日。[17]

2012年,《紐約時報》報導,美國官員承認這個病毒是由美國國家安全域以色列協助下研發,以奧林匹克網絡攻擊行動英語Operation Olympic Games為計劃代號,目的在於阻止伊朗發展核武[18]

活動

Thumb
自動化軟件Step 7與Siemens PLC之間的正常通訊
Thumb
Step 7與Siemens PLC的通訊被Stuxnet劫持

Stuxnet同時利用微軟和西門子公司產品的7個最新漏洞進行攻擊。這7個漏洞中,MS08-067、MS10-046、MS10-061、MS10-073、MS10-092等5個針對Windows系統(其中MS10-046、MS10-061、MS10-073、MS10-092四個屬於0day漏洞),2個針對西門子SIMATIC WinCC英語SIMATIC WinCC系統。[19][13]

它最初通過感染USB快閃記憶體驅動器傳播,然後攻擊被感染網絡中的其他WinCC電腦。一旦進入系統,它將嘗試使用預設密碼來控制軟件。[3]但是,西門子公司不建議更改預設密碼,因為這「可能會影響工廠運作。」[20]

該蠕蟲病毒的複雜性非常罕見,病毒編寫者需要對工業生產過程和工業基礎設施十分了解。[1][3]利用Windows零日漏洞數量也不同尋常,因為Windows零日漏洞的價值,黑客通常不會浪費到讓一個蠕蟲同時利用四個漏洞。[6]Stuxnet的體積較大,大約有500KB,[21]並使用了數種程式語言(包括C語言C++),通常惡意軟件不會這樣做。[1][3]Stuxnet還通過偽裝成RealtekJMicron兩家公司的數碼簽章,以繞過安全產品的檢測並在短期內不被發現。[21][22]它也有能力通過P2P傳播。[21][23]這些功能將需要一個團隊,以及檢查惡意軟件不會使PLC崩潰。在西門子系統維護和故障排除方面擁有多年的經驗的埃里克·拜爾斯(Eric Byres)告訴《連線》,編寫這些代碼需要很多人工作幾個月,甚至幾年。[21]這樣大費周章的設計,也是該軟件被懷疑有軍事背景的因素。

Remove ads

移除

西門子公司已經發佈了一個Stuxnet的檢測和清除工具。西門子建議檢測到感染的客戶聯絡客戶支援,並建議客戶安裝微軟的漏洞修補程式並禁用第三方USB裝置。[24]

該蠕蟲病毒可重新編程外部可程式化邏輯控制器(PLC)的能力使得移除過程變得更為複雜。賽門鐵克的Liam O'Murchu警告說,僅修復Windows系統可能無法完全解決感染問題,他建議全面檢查PLC。此外據推測,錯誤地移除該蠕蟲可導致大量損失。[25]

受影響的國家

賽門鐵克的研究表明,截至2010年8月6日,受影響的國家主要有:[26]

更多資訊 國家, 受感染電腦比例 ...
受到Stuxnet影響的國家
國家 受感染電腦比例
伊朗 58.85%
印度尼西亞 18.22%
印度 8.31%
阿塞拜疆共和國 2.57%
美國 1.56%
巴基斯坦 1.28%
其他國家 9.2%
關閉

據報道,在Stuxnet襲擊之後,伊朗「增強了」其網絡戰能力,並被懷疑對美國銀行進行了報復性襲擊。[27]

參見條目

參考文獻

Remove ads

外部連結

Wikiwand in your browser!

Seamless Wikipedia browsing. On steroids.

Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.

Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.

Remove ads