震网Stuxnet),又称作超级工厂,是一种Windows平台上的计算机蠕虫,2010年6月首次被白俄罗斯安全公司VirusBlokAda英语VirusBlokAda发现,其名称是从代码中的关键字得来,它的传播从2009年6月或更早开始,首次大范围被报道的是Brian Krebs的安全博客。它是首个针对工业控制系统的蠕虫病毒,[1]利用西门子公司控制系统(SIMATIC WinCC/Step7)存在的漏洞感染数据采集与监控系统(SCADA),[2]能向可编程逻辑控制器(PLC)写入代码并将代码隐藏。[3]这次事件是有史以来第一个包含PLC Rootkit的电脑蠕虫,[4]也是已知的第一个以关键工业基础设施为目标的蠕虫。[5]此外,该蠕虫的可能目标为伊朗使用西门子控制系统的高价值基础设施。[6][7]据报道,该蠕虫病毒可能已感染并破坏了伊朗纳坦兹的核设施,[8][9]并最终使伊朗的布什尔核电站推迟启动。[10]不过西门子公司表示,该蠕虫事实上并没有造成任何损害。[11]

一个被设计为代表“震网”病毒的标志。

赛门铁克安全响应中心高级主任凯文·霍根(Kevin Hogan)指出,约60%的被感染个人电脑伊朗,这意味着其目标是当地的工业基础设施。[12]俄罗斯安全公司卡巴斯基实验室发布了一个声明,认为Stuxnet蠕虫“是一种十分有效并且可怕的网络武器原型,这种网络武器将导致世界上新的军备竞赛,一场网络军备竞赛时代的到来。”并认为“除非有国家和政府的支持和协助,否则很难发动如此规模的攻击。”伊朗成为了真实网络战的第一个目标。[13][14][15][16]

历史

编辑

2010年6月中旬,该病毒首次由安全公司VirusBlokAda发现,其根源可追溯到2009年6月。[3]Stuxnet蠕虫的最终编译时间约为2010年2月3日。[17]

2012年,《纽约时报》报导,美国官员承认这个病毒是由美国国家安全局以色列协助下研发,以奥林匹克网络攻击行动英语Operation Olympic Games为计划代号,目的在于阻止伊朗发展核武[18]

活动

编辑
 
自动化软件Step 7与Siemens PLC之间的正常通信
 
Step 7与Siemens PLC的通信被Stuxnet劫持

Stuxnet同时利用微软和西门子公司产品的7个最新漏洞进行攻击。这7个漏洞中,MS08-067、MS10-046、MS10-061、MS10-073、MS10-092等5个针对Windows系统(其中MS10-046、MS10-061、MS10-073、MS10-092四个属于0day漏洞),2个针对西门子SIMATIC WinCC英语SIMATIC WinCC系统。[19][13]

它最初通过感染USB闪存驱动器传播,然后攻击被感染网络中的其他WinCC计算机。一旦进入系统,它将尝试使用默认密码来控制软件。[3]但是,西门子公司不建议更改默认密码,因为这“可能会影响工厂运作。”[20]

该蠕虫病毒的复杂性非常罕见,病毒编写者需要对工业生产过程和工业基础设施十分了解。[1][3]利用Windows零日漏洞数量也不同寻常,因为Windows零日漏洞的价值,黑客通常不会浪费到让一个蠕虫同时利用四个漏洞。[6]Stuxnet的体积较大,大约有500KB,[21]并使用了数种编程语言(包括C语言C++),通常恶意软件不会这样做。[1][3]Stuxnet还通过伪装成RealtekJMicron两家公司的数字签名,以绕过安全产品的检测并在短期内不被发现。[21][22]它也有能力通过P2P传播。[21][23]这些功能将需要一个团队,以及检查恶意软件不会使PLC崩溃。在西门子系统维护和故障排除方面拥有多年的经验的埃里克·拜尔斯(Eric Byres)告诉《连线》,编写这些代码需要很多人工作几个月,甚至几年。[21]这样大费周章的设计,也是该软件被怀疑有军事背景的因素。

移除

编辑

西门子公司已经发布了一个Stuxnet的检测和清除工具。西门子建议检测到感染的客户联系客户支持,并建议客户安装微软的漏洞补丁并禁用第三方USB设备。[24]

该蠕虫病毒可重新编程外部可编程逻辑控制器(PLC)的能力使得移除过程变得更为复杂。赛门铁克的Liam O'Murchu警告说,仅修复Windows系统可能无法完全解决感染问题,他建议全面检查PLC。此外据推测,错误地移除该蠕虫可导致大量损失。[25]

受影响的国家

编辑

赛门铁克的研究表明,截至2010年8月6日,受影响的国家主要有:[26]

受到Stuxnet影响的国家
国家 受感染电脑比例
伊朗 58.85%
印度尼西亚 18.22%
印度 8.31%
阿塞拜疆共和国 2.57%
美国 1.56%
巴基斯坦 1.28%
其他国家 9.2%

据报道,在Stuxnet袭击之后,伊朗“增强了”其网络战能力,并被怀疑对美国银行进行了报复性袭击。[27]

参见条目

编辑

参考文献

编辑
  1. ^ 1.0 1.1 1.2 Robert McMillan. Siemens: Stuxnet worm hit industrial systems. Computerworld. 16 September 2010 [16 September 2010]. (原始内容存档于2012年5月25日). 
  2. ^ Iran's Nuclear Agency Trying to Stop Computer Worm. Tehran: Associated Press. 2010-09-25 [2010-09-25]. (原始内容存档于2010-09-25). 
  3. ^ 3.0 3.1 3.2 3.3 3.4 Gregg Keizer. Is Stuxnet the 'best' malware ever?. Infoworld. 16 September 2010 [16 September 2010]. (原始内容存档于2012年12月5日). 
  4. ^ Last-minute paper: An indepth look into Stuxnet. Virus Bulletin. [2010-10-08]. (原始内容存档于2016-02-03). 
  5. ^ Stuxnet worm hits Iran nuclear plant staff computers. BBC News. [2010-10-08]. (原始内容存档于2021-04-14). 
  6. ^ 6.0 6.1 Fildes, Jonathan. Stuxnet worm 'targeted high-value Iranian assets'. BBC News. 2010-09-23 [2010-09-23]. (原始内容存档于2021-04-14). 
  7. ^ Stuxnet virus: worm 'could be aimed at high-profile Iranian targets’. The Daily Telegraph. 2010-09-23 [2010-09-28]. (原始内容存档于2021-04-14). 
  8. ^ Ethan Bronner & William J. Broad. In a Computer Worm, a Possible Biblical Clue. NYTimes. 2010-09-29 [2010-10-02]. (原始内容存档于2021-04-15). 
  9. ^ Iran Confirms Stuxnet Damage to Nuclear Facilities. Tikun Olam. 2010-09-25 [2010-09-28]. (原始内容存档于2012-03-04). 
  10. ^ Software smart bomb fired at Iranian nuclear plant: Experts. Economictimes.indiatimes.com. 2010-09-24 [2010-09-28]. (原始内容存档于2021-11-14). 
  11. ^ ComputerWorld. Siemens: Stuxnet worm hit industrial systems. Computerworld. September 14, 2010 [3 October 2010]. (原始内容存档于2013-12-15). 
  12. ^ 存档副本. [2010-10-08]. (原始内容存档于2021-04-14). 
  13. ^ 13.0 13.1 卡巴斯基实验室深度分析Stuxnet蠕虫. Kaspersky Lab. 2010年9月25日 [2010年10月8日]. (原始内容存档于2010年9月29日). 
  14. ^ 存档副本. [2010-10-08]. (原始内容存档于2010-11-20). 
  15. ^ 存档副本. [2010-10-08]. (原始内容存档于2010-09-29). 
  16. ^ http://www.mymacaddress.com/iran-first-victim-of-cyberwar/[永久失效链接]
  17. ^ Aleksandr Matrosov, Eugene Rodionov, David Harley, and Juraj Malcho. Stuxnet under the microscope (PDF). [24 September 2010]. (原始内容 (PDF)存档于2010年10月3日). 
  18. ^ 陈晓莉. 報導:美國政府涉及開發與散布Stuxnet蠕蟲. iThome. [2012-06-04]. (原始内容存档于2013-07-31). 
  19. ^ 计算机病毒预警:当心U盘传播Stuxnet病毒. 中国政府网. 2010年9月27日 [2010年10月8日]. (原始内容存档于2016年9月20日). 
  20. ^ Tom Espiner. Siemens warns Stuxnet targets of password risk. cnet. 20 July 2010 [17 September 2010]. (原始内容存档于2011-01-09). 
  21. ^ 21.0 21.1 21.2 21.3 Kim Zetter. Blockbuster Worm Aimed for Infrastructure, But No Proof Iran Nukes Were Target. Wired. 2010-09-23 [2010-09-24]. (原始内容存档于2012-12-17). 
  22. ^ Kaspersky Lab provides its insights on Stuxnet worm. Kaspersky Lab. 2010-09-24 [2010-09-27]. (原始内容存档于2016-03-04). 
  23. ^ Liam O Murchu. Stuxnet P2P component. Symantec. 2010-09-17 [2010-09-24]. (原始内容存档于2019-01-17). 
  24. ^ SIMATIC WinCC / SIMATIC PCS 7: Information concerning Malware / Virus / Trojan. Siemens. [24 September 2010]. (原始内容存档于2014-11-29). 
  25. ^ Siemens: Stuxnet Worm Hit Industrial Systems. IDG News. [2010-10-09]. (原始内容存档于2012-07-28). 
  26. ^ Factbox: What is Stuxnet?. [30 September 2010]. (原始内容存档于2020-12-07). 
  27. ^ "Iran denies hacking into American banks页面存档备份,存于互联网档案馆)" Reuters, 23 September 2012

外部链接

编辑