超级病毒Stuxnet或将开启网络战争新时代

日前,一款名为Stuxnet的蠕虫病毒由于攻击目标直指伊朗核设施而引起了全球安全业者的关注,这款病毒很可能将开启网络战争的新时代。

根据卡巴斯基实验室监测报告显示, Stuxnet蠕虫攻击已经引发关于攻击者身份、攻击目标、攻击意图等诸多争论。从微软公布的调查结果中来看,该病毒正在伊朗等中亚国家肆虐,每日的发作频次也越来越高,并有逐步向亚洲东部扩散的迹象。据全球最大安全公司Symantec初步研究,近60%的感染发生在伊朗,其次为印尼(约20%)和印度(约10%), 阿塞拜疆、美国与巴基斯坦等地亦有小量个案。国内安全专家李铁军在其微博中表示:“Stuxnet病毒感染特定的WinCC系统(见于西门子公司的工控机),Stuxnet病毒的某些行为类似于conficker病毒(该病毒曾经导致法国军方下令战机停飞)。按常理,病毒攻击特定系统依靠U盘传播,其传播更象间谍行为。”

自2010年6月以来,Stuxnet恶性超级病毒就开始在全球范围大肆传播,已感染超过4.5万个局域网络。Stuxnet是第一个利用Windows“零日漏洞”,针对控制系统和公共事业机构发动攻击的恶意软件,能够攻击包括石油运输管道、发电厂、大型通信设施、机场等多种工业和民用基础设施。目前伊朗受Stuxnet病毒影响最为严重,近60%的电脑受到感染,而原计划于8月启动运行的Bushehr核电站也惨遭攻击。

Stuxnet病毒主要利用Windows系统漏洞实施攻击和传播,具有极强的复制能力和明确的攻击目标,一旦成功感染系统就会自动传播给其他与之相连的电脑,最后造成大量网络流量的连锁效应,导致整个网络系统瘫痪。卡巴斯基实验室创始人兼CEO尤金•卡巴斯基先生表示:“这是一个转折点,表明传统的网络犯罪正在向网络武器、网络恐怖主义和网络战争转变。”

截至目前,卡巴斯基实验室还没有足够证据用以识别攻击者来自哪里及其预定攻击目标,但可以确定的是,这是一种掌握了独一无二的、复杂的、娴熟且高超技术的团队恶意攻击行为。另外,卡巴斯基实验室认为,这是全球第一个得到某国政府资助下展开的大规模恶意网络攻击行为。

“我认为此事将成为网络攻击行为的转折点,同时也提醒我们必须重新认识网络安全环境,此前的恶意攻击行为仅限于破坏网络,而此次攻击恐怕与网络恐怖活动、网络军备竞赛及网络战争有关。”卡巴斯基实验室创办人兼首席执行官尤金•卡巴斯基出席在德国慕尼黑举行的卡巴斯基实验室国际新闻记者安全研讨会上对此表示。他还特别强调,“与传统的恶意程序最大的不同点在于,Stuxnet蠕虫的攻击目的不是要偷盗钱财、发送垃圾邮件、窃取个人隐私,而是旨在破坏植物、与工业系统”。

尤金•卡巴斯基将Stuxnet比喻成为打开的“潘朵拉魔盒”,他说:“我很害怕,Stuxnet开始一个全新的网络犯罪世界。自1990年开始后的十年,我们曾经历过十年网络“浩劫”,但是对于网络犯罪者来说,Stuxnet的出现无疑为其开创了一个实施网络恐怖活动与网络战争的‘新时代’”。

工业计算机专家兰纳猜测,Stuxnet可能意在坏伊朗的布什尔核电站。这个由俄罗斯兴建的核电厂未能如期运作,伊朗当局上月底称,“酷热天气”令核电厂被迫延后全面运作。但兰纳认为,核电厂是因技术问题而延误运作。德国安全公司GSMK首席科技官则认为,Stuxnet真正目标是位于伊朗纳坦兹的铀浓缩工厂。他的依据是Stuxnet似乎在去年 1月开始入侵计算机系统,而根据“维基解密”网站爆料,纳坦兹铀浓缩工厂去年7月曾发生“严重”核事故,当时伊朗浓缩铀产量离奇下跌。

卡巴斯基实验室病毒分析师在近期针对“零日漏洞”的研究过程中发现,三种新漏洞能够直接对微软及其协作伙伴的产品形成巨大破坏。此外,利用“零日漏洞”,Stuxnet蠕虫凭借两种有效证件(Realtek与JMicron)能够在相当长的时间内保持恶意攻击行为。

经研究发现,Stuxnet蠕虫的终极目标是入侵用于监控工业、基础设施、或工厂建设过程中所使用的相关终端控制系统,类似系统广泛应用于石油管道、电厂、大型通信系统、机场、船舶、乃至全球军事设施。

从其成熟的技术、多层次的渗漏攻击、使用多个“零日漏洞”以及采取合法证件的攻击方式不难看出:Stuxnet的背后是由一个非常成熟的专业团队运作,其拥有巨大的资源及财政支持。

在全球范围内,60%被Stuxnet感染的电脑都来自伊朗,首要目标就是伊朗的布什尔核电站,可见这次恶意行为的攻击目标非常清晰,这并不是一个普通网络犯罪集团所为。另外,安全专家在分析此次恶意攻击过程中发现,Stuxnet并没有对被攻击目标的系统资料实施间谍行为,但对其进行了严重破坏。以上事实表明:Stuxnet的出现可能是由一个具有很强情报资料处理能力的国家在背后操纵。

报道称,科技新闻网站wired.com指出,若伊朗是Stuxnet攻击目标,美国与以色列将是发动袭击的主要嫌疑,因为两国都有技术和资源来打造一个如此复杂的恶意程序。以色列新闻网站Ynetnews去年曾引述以色列前内阁成员称,牵制伊朗核计划的唯一可行方法,就是利用计算机恶意软件发动网络攻击。

卡巴斯基实验室认为:Stuxnet是一个非常可怕的“网络攻击武器”原形,其将会在世界范围内引发新一轮的网络军备竞赛。

赛迪点评:网络战的说法早已有之,网络战最基本的攻击手段之一就是病毒、木马。如果Stuxnet蠕虫病毒的真实攻击目标就是伊朗核设施的话,那我们可就看到了一次现实版网络战的攻击效果。但卡巴斯基先生提到的“网络恐怖活动”确实让人担忧,Stuxnet蠕虫病毒无疑为网络犯罪分子指出一种新的攻击方法,黑色产业链恐将升级,并更具暴力、攻击性。