网络战:攻击伊朗核电站的病毒与烟雾弹

当超级工厂病毒,也就是Stuxnet,成功摧毁伊朗核电站里的离心机时,人们惊呼“网络战开始了!”日前,“超限战专家”John Bumgarner认为,曾被全球安全专家围捕的Conficker病毒其实是在为Stuxnet的攻击释放烟雾弹。而趋势科技资深工程师Rik Ferguson却不这样认为。

刚刚有篇路透社的新闻报导,其中主要介绍了备受推崇的“超限战专家”John Bumgarner有关Conficker的看法,他认为,这个病毒是作为烟雾弹制作和传播的,其真正目的在于掩盖使用Stuxnet对伊朗核电站进行的攻击。

Bumgarner声称,一开始的侦查阶段是在2007年,通过Duqu确认以后要借助Stuxnet攻击的目标。到2008年11 月,Conficker开始被传播到全球,感染尽可能多的电脑。当这些Conficker中毒电脑成功发送汇报信息后,如果受害者电脑位于特定位置(伊朗),就会被标记起来,以做为Stuxnet的攻击目标。他还进一步指出,Conficker对伊朗之外的电脑并没有造成损害,而4月1日这个恶名昭彰的日期,实际上只是将Stuxnet植入那些位于伊朗相应位置的计算机内。

以下是Bumgarner用来佐证的证据,但是对我来说都不够有力:

1. Stuxnet和Conficker都“前所未见的复杂”,所以认为它们是有关连的。

2. Stuxnet和Conficker都用相同的系统漏洞感染电脑(MS08-67)

3. 没说明“关键日期”,也没说明“不同版本”的Conficker和Stuxnet的时间戳是重叠的,这样就“可以确认攻击发动的日子是2009年4月1日”。

4. 2009年4月1日是伊朗伊斯兰共和国宣布建国30周年纪念日。其他未明确的日期也和“伊朗总统内贾德说他的国家将不顾国际社会反对,继续追求核计划”,以及“他在纽约哥伦比亚大学发表争议性演讲”等日子有关。

至于这次攻击是如何收尾的,最终的目标机器还坐落在它该在的地方核电厂中,Bumgarner也说,在这时候恶意软件还没有进入到目标机器上。因此为了要跨过这最后一道鸿沟,Stuxnet被设计可感染USB存储设备,然后期望某人会拿着被感染Conficker/Stuxnet的存储设备,然后将它插到位于核电厂隔离网络中的机器上。如果这一点最终实现,Bumgarner肯定就会说:“将军”。

唉,这什么跟什么呀!我实在没有办法相信这些说法。让我列举几个原因:

1. 如果在伊朗以外的目标都是多余的,那为什么第一代Conficker会只排除乌克兰的电脑?为什么这个限制之后被取消?为什么不一开始就只感染伊朗的电脑?而且说感染Conficker的电脑没有太大问题也是不正确的。Conficker曾被用来宣传假防毒软件,而且它跟Waledac殭尸网络也有关系。

2. Conficker和Stuxnet的复杂程度表现在不同地方。原始版本Conficker只用了一个已经被修补的Windows系统漏洞来传播,第二个变种加上了通过U盘和用常见密码清单来做暴力密码破解来传播的功能,这些作法都不大复杂。这个恶意软件的复杂之处在于,它会随机生成域名,并将其作为可能的控制服务器。但是这些都可以很快被反编译和破解。到了Conficker的第三个变种,这些传播方法都被取消了,直到第四个变种才再次加回来。 Stuxnet相较起来就复杂多了,它利用了零时差弱点攻击,而且还需要有SCADA系统和核电厂的专业知识。

3. 关于为什么Stuxnet病毒的制造者也选择利用MS08-67系统漏洞,我有一个理论。因为有强烈的事实证明这个漏洞很有效,Conficker在出现三年之后,还是企业网络中最常见的病毒。因此你为什么还要制造使用相同漏洞来传播的两种不同恶意软件,并且还要用其中一个来下载另外一个呢?

4. 4月1日的“发动日期”直接写在Conficker第三个变种的程序代码,并不需要通过时间戳来判断。

5. 4月1日是很多国家的愚人节,也是Apple成立的日子、英国内政部重大组织犯罪署成立的日子、爱尔兰的生日、东德军队封锁西柏林的日子…你知道我的意思吗?至于什么伊朗总统内贾德说他的国家会继续追求核计划,当然了,随便任何一天也都可以掰出个对应的事件出来…

最后还有这艰难的结尾方式,依靠不知名的人,将U盘插到感染Confuxnet的电脑上,在毫无所觉的情况下再将同一个U盘插到核电厂的可编程控制器上?看看我们谈到的这一切“前所未有的复杂性”,这种做法成功的机会是不是太渺小了点?也太靠运气了些。

抱歉了,Bumgarner先生,它可能是真的,当然它的确可能。但也可能是你被报导错误了,但是看看你到目前为止列出的那些证据,我就是无法接受。

如果我是一个拥有这么多资源的政府组织,那么我直接找特务拿着装有Stuxnet病毒的U盘去目标设施不就好了吗?