震网
震网(Stuxnet),又称作超级工厂,是一种Windows平台上的计算机蠕虫,2010年6月首次被白俄罗斯安全公司VirusBlokAda发现,其名称是从代码中的关键字得来,它的传播从2009年6月或更早开始,首次大范围被报道的是Brian Krebs的安全博客。它是首个针对工业控制系统的蠕虫病毒,[1]利用西门子公司控制系统(SIMATIC WinCC/Step7)存在的漏洞感染数据采集与监控系统(SCADA),[2]能向可编程逻辑控制器(PLC)写入代码并将代码隐藏。[3]
这是有史以来第一个包含PLC Rootkit的电脑蠕虫,[4]也是已知的第一个以关键工业基础设施为目标的蠕虫。[5]此外,该蠕虫的可能目标为伊朗使用西门子控制系统的高价值基础设施。[6][7]据报道,该蠕虫病毒可能已感染并破坏了伊朗纳坦兹的核设施,[8][9]并最终使伊朗的布什尔核电站推迟启动。[10]不过西门子公司表示,该蠕虫事实上并没有造成任何损害。[11]
赛门铁克安全响应中心高级主任凯文·霍根(Kevin Hogan)指出,在伊朗约60%的个人电脑被感染,这意味着其目标是当地的工业基础设施。[12]俄罗斯安全公司卡巴斯基实验室发布了一个声明,认为Stuxnet蠕虫“是一种十分有效并且可怕的网络武器原型,这种网络武器将导致世界上新的军备竞赛,一场网络军备竞赛时代的到来。”并认为“除非有国家和政府的支持和协助,否则很难发动如此规模的攻击。”伊朗成为了真实网络战的第一个目标。[13][14][15][16]
历史
2010年6月中旬,该病毒首次由安全公司VirusBlokAda发现,其根源可追溯到2009年6月。[3]Stuxnet蠕虫的最终编译时间约为2010年2月3日。[17]
2012年,《紐約時報》報導,美國官員承認這個病毒是由美國國家安全局在以色列協助下研發,以奧林匹克網路攻擊行動為計劃代號,目的在於阻止伊朗發展核武[18]。
活动
Stuxnet同时利用微软和西门子公司产品的7个最新漏洞进行攻击。这7个漏洞中,MS08-067、MS10-046、MS10-061、MS10-073、MS10-092等5个针对Windows系统(其中MS10-046、MS10-061、MS10-073、MS10-092四个属于0day漏洞),2个针对西门子SIMATIC WinCC系统。[19][13]
它最初通过感染USB闪存驱动器传播,然后攻击被感染网络中的其他WinCC计算机。一旦进入系统,它将尝试使用默认密码来控制软件。[3]但是,西门子公司不建议更改默认密码,因为这“可能会影响工厂运作。”[20]
该蠕虫病毒的复杂性非常罕见,病毒编写者需要对工业生产过程和工业基础设施十分了解。[1][3]利用Windows的零日漏洞数量也不同寻常,因为Windows零日漏洞的价值,黑客通常不会浪费到让一个蠕虫同时利用四个漏洞。[6]Stuxnet的体积较大,大约有500KB,[21]并使用了数种编程语言(包括C语言和C++),通常恶意软件不会这样做。[1][3]Stuxnet还通过伪装成Realtek与JMicron两家公司的数字签名,以绕过安全产品的检测并在短期内不被发现。[21][22]它也有能力通过P2P传播。[21][23]这些功能将需要一个团队,以及检查恶意软件不会使PLC崩溃。在西门子系统维护和故障排除方面拥有多年的经验的埃里克·拜尔斯(Eric Byres)告诉《连线》,编写这些代码需要很多人工作几个月,甚至几年。[21]這樣大費周章的設計,也是該軟體被懷疑有軍事背景的因素。
移除
西门子公司已经发布了一个Stuxnet的检测和清除工具。西门子建议检测到感染的客户联系客户支持,并建议客户安装微软的漏洞补丁并禁用第三方USB设备。[24]
该蠕虫病毒可重新编程外部可编程逻辑控制器(PLC)的能力使得移除过程变得更为复杂。赛门铁克的Liam O'Murchu警告说,仅修复Windows系统可能无法完全解决感染问题,他建议全面检查PLC。此外据推测,错误地移除该蠕虫可导致大量损失。[25]
受影响的国家
赛门铁克的研究表明,截至2010年8月6日,受影响的国家主要有:[26]
国家 | 受感染电脑比例 |
---|---|
伊朗 | 58.85% |
印度尼西亚 | 18.22% |
印度 | 8.31% |
阿塞拜疆共和国 | 2.57% |
美国 | 1.56% |
巴基斯坦 | 1.28% |
其他国家 | 9.2% |
参考文献
- Robert McMillan. . Computerworld. 16 September 2010 [16 September 2010]. (原始内容存档于2012年5月25日).
- . Tehran: Associated Press. 2010-09-25 [2010-09-25]. (原始内容存档于2010-09-25).
- Gregg Keizer. . Infoworld. 16 September 2010 [16 September 2010]. (原始内容存档于2012年12月5日).
- . Virus Bulletin.
- . BBC News.
- Fildes, Jonathan. . BBC News. 2010-09-23 [2010-09-23].
- . The Daily Telegraph. 2010-09-23 [2010-09-28].
- Ethan Bronner & William J. Broad. . NYTimes. 2010-09-29 [2010-10-02].
- . Tikun Olam. 2010-09-25 [2010-09-28].
- . Economictimes.indiatimes.com. 2010-09-24 [2010-09-28].
- ComputerWorld. . Computerworld. September 14, 2010 [3 October 2010].
- http://www.reuters.com/article/idUSLDE68N1OI20100924
- . Kaspersky Lab. 2010年9月25日 [2010年10月8日]. (原始内容存档于2010年9月29日).
- http://news.scotsman.com/world/Iran-39first-victim-of-cyberwar39.6550278.jp
- . [2010-10-08]. (原始内容存档于2010-09-29).
- http://www.mymacaddress.com/iran-first-victim-of-cyberwar/%5B%5D
- Aleksandr Matrosov, Eugene Rodionov, David Harley, and Juraj Malcho. (PDF). [24 September 2010]. (原始内容 (PDF)存档于2010年10月3日).
- 陳曉莉. . iThome. [2012-06-04]. (原始内容存档于2013-07-31).
- . 中国政府网. 2010年9月27日 [2010年10月8日].
- Tom Espiner. . cnet. 20 July 2010 [17 September 2010]. (原始内容存档于2011-01-09).
- Kim Zetter. . Wired. 2010-09-23 [2010-09-24]. (原始内容存档于2012-12-17).
- . Kaspersky Lab. 2010-09-24 [2010-09-27].
- Liam O Murchu. . Symantec. 2010-09-17 [2010-09-24].
- . Siemens. [24 September 2010].
- . IDG News.
- . [30 September 2010].
- "Iran denies hacking into American banks" Reuters, 23 September 2012
外部链接
维基共享资源中相关的多媒体资源:震网 |
- Siemens - Industry Automation and Drive Technologies - Service& Support - SIMATIC WinCC / SIMATIC PCS 7: Information concerning Malware / Virus / Trojan
- Stuxnet Under the Microscope, an analysis of Stuxnet white paper, ESET
- Security analysis of Stuxnet
- Exploring Stuxnet’s PLC Infection Process, Symantec
- Super Nuclear Worm Invades Kazakhstan - Hollywood Salivates
- Stuxnet Questions and Answers, F-Secure
- Stuxnet: Fact vs. theory by Elinor Mills for CNET News October 5, 2010
- Stuxnet: Cyber Attack on Iran - PressTV video