Stuxnet蠕虫肆虐全球 各大工业均遭波及

对于系统管理员来说,微软、Adobe和苹果发布的安全公告和补丁数量日益增加,让大家的心态都有些麻木了。难怪在关于零日攻击的最新公告“Stuxnet蠕虫攻击”发布的时候,大多数人仅仅就是打个哈欠,没有一丝紧张的迹象。就象在关于该事件的最新消息中了解到的,但引起笔者关注的是发布者的来源:管理自动化。

管理自动化是一家非常优秀的(美国)网站,关注的重点是供应链、制造、过程控制和产品生命周期管理方面的内容。在过去的五年甚至更长的时间里,他们关注的话题和网络管理员的关系并不是那么密切,而是通常限于工业系统安全管理、工业间谍行为的防范等方面。仅仅到了最近,管理自动化网站才新增加了栏目,关注是设备中的恶意软件情况。它是值得引起注意的,下面就让我们来看一下Stuxnet到底是何方神圣:

全球各地的制造商被告知,一个针对数据采集与监控系统(SCADA)的潜伏病毒已经开始广泛传播。

该恶意软件针对的是西门子SIMATIC WinCC和PCS 7软件,分布式控制和数据采集与监控系统,属于很多制造企业在生产经营过程中不可分割的部分。

在制造和工艺领域不使用西门子SIMATIC WinCC和PCS 7软件是几乎不可能做到的。因此,我们可以了解到这次新出现的威胁有多严重,现场人员应该予以重点关注,这次的危机我们自己就可以很容易处理了吗?答案是否定的,因此,我们有理由对其进行重点关注。

一名美国知名的IT作者同一天也在管理自动化网站发表了一篇文章,题目为《对于基础设施保护来说,出现针对SCADA系统的恶意软件是一种不祥的潜在新威胁》。美国知名IT媒体网络世界引用来自F-Secure公司的警告,认为“这可能引起病毒流行的威胁”。最后,可能是类似情况的标准声明,微软在今年7月16日发布的2286198号安全公告中建议客户访问微软提供的通用支持网站,并联系“所在国家的执法机关。”

所有这一切都足以让我更加关注它。

尽管在通常情况下,SCADA系统很少定期链接到互联网上,但它们内部之间也是通过网络互联的,并且也存在常见的漏洞。(从网络上的信息来看,这次针对西门子产品的攻击中,明确提到的目标是以太网交换机和无线局域网。)西方各国的一些公共官员已经对SCADA系统中存在的风险发出了明确警告,特别是现在已经有几个例子出现的情况下。一处特别的漏洞(一个硬编码的密码,可以允许用户进入西门子软件的后端数据库)没有被专门标注出来(在西门子进行的软件质量审核中,软件的日期加上质疑导致了问题的出现),被恶意软件包利用。

由于病毒是通过优盘或网络共享进行传播的,因此,简单地关闭Windows自动运行并不能影响它的传播;只要查看了受到感染的系统文件,恶意软件就可以完成安装。一名来自托菲诺公司的安全专家认为,该零日攻击可以对所有版本的Windows系统造成破坏,在接下来的一个月或更短的时间里,就可以传播到全球各地。初步评估表明,恶意软件没有对基础设施进行专门破坏,而是窃取了SIMATIC WinCC/PCS 7运行中的信息,有点类似,某种形式的工业间谍活动。当然,这样的工业间谍行为以后也可能对相同或类似配置的系统造成严重破坏。

最近的新闻报道和分析师已经注意到它对SCADA网络带来的威胁,以及蠕虫病毒用来进行更广泛传播的Windows安全漏洞(它利用了Windows中对快捷方式进行解释的代码,即.lnk文件)。微软已经在分析结果中表明了传播的方式,并将其命名为“Stuxnet”威胁,对于Windows外壳中的“错误快捷方式”来说,这是一种新的安全漏洞。在MITRE的常见缺陷列表中,Stuxnet已经被编注为CVE-2010-2568。就其本身而言,微软已经给出了各种解决办法,并更新了自己的检测引擎。

更多的问题和处理措施

但仅仅这么处理是不够的,该攻击也涉及到瑞昱半导体拥有的威瑞信数字签名证书被盗窃。Stuxnet可以利用该证书来对自安装所需的驱动程序进行验证。尽管微软已经说服了瑞昱和威瑞信撤销该证书,但对于木马攻击来说,这几乎是无关痛痒的事。

这样会导致依赖综合症出现?

所有这一切意味着什么呢?这起事件让我们学到了一个教训,尽管并不是新的,这就是认为大多数恶意软件都以互联网为中心的方向可能让我们错过某些类型的威胁。SCADA系统中的漏洞,只是存在一定的威胁。这些威胁可能不会直接传播到通用网络上,但它们依靠的是链接、能源甚至人类可居住性的SCADA系统。“依赖综合症”就意味着,由网络管理员进行日常管理的传统网络与托管的SIMATIC WinCC/PCS7之类的非传统网络链接到一起的话,迟早将会发生不能防范和保障安全的情况。