震网

震网Stuxnet),又称作超级工厂,是一种Windows平台上的计算机蠕虫,2010年6月首次被白俄罗斯安全公司VirusBlokAda发现,其名称是从代码中的关键字得来,它的传播从2009年6月或更早开始,首次大范围被报道的是Brian Krebs的安全博客。它是首个针对工业控制系统的蠕虫病毒[1]利用西门子公司控制系统(SIMATIC WinCC/Step7)存在的漏洞感染数据采集与监控系统(SCADA),[2]能向可编程逻辑控制器(PLC)写入代码并将代码隐藏。[3]

一个被设计为代表“震网”病毒的标志。

这是有史以来第一个包含PLC Rootkit电脑蠕虫[4]也是已知的第一个以关键工业基础设施为目标的蠕虫。[5]此外,该蠕虫的可能目标为伊朗使用西门子控制系统的高价值基础设施。[6][7]据报道,该蠕虫病毒可能已感染并破坏了伊朗纳坦兹的核设施,[8][9]并最终使伊朗的布什尔核电站推迟启动。[10]不过西门子公司表示,该蠕虫事实上并没有造成任何损害。[11]

赛门铁克安全响应中心高级主任凯文·霍根(Kevin Hogan)指出,在伊朗约60%的个人电脑感染,这意味着其目标是当地的工业基础设施。[12]俄罗斯安全公司卡巴斯基实验室发布了一个声明,认为Stuxnet蠕虫“是一种十分有效并且可怕的网络武器原型,这种网络武器将导致世界上新的军备竞赛,一场网络军备竞赛时代的到来。”并认为“除非有国家和政府的支持和协助,否则很难发动如此规模的攻击。”伊朗成为了真实网络战的第一个目标。[13][14][15][16]

历史

2010年6月中旬,该病毒首次由安全公司VirusBlokAda发现,其根源可追溯到2009年6月。[3]Stuxnet蠕虫的最终编译时间约为2010年2月3日。[17]

2012年,《紐約時報》報導,美國官員承認這個病毒是由美國國家安全局以色列協助下研發,以奧林匹克網路攻擊行動為計劃代號,目的在於阻止伊朗發展核武[18]

活动

自动化软件Step 7与Siemens PLC之间的正常通信
Step 7与Siemens PLC的通信被Stuxnet劫持

Stuxnet同时利用微软和西门子公司产品的7个最新漏洞进行攻击。这7个漏洞中,MS08-067、MS10-046、MS10-061、MS10-073、MS10-092等5个针对Windows系统(其中MS10-046、MS10-061、MS10-073、MS10-092四个属于0day漏洞),2个针对西门子SIMATIC WinCC系统。[19][13]

它最初通过感染USB闪存驱动器传播,然后攻击被感染网络中的其他WinCC计算机。一旦进入系统,它将尝试使用默认密码来控制软件。[3]但是,西门子公司不建议更改默认密码,因为这“可能会影响工厂运作。”[20]

该蠕虫病毒的复杂性非常罕见,病毒编写者需要对工业生产过程和工业基础设施十分了解。[1][3]利用Windows零日漏洞数量也不同寻常,因为Windows零日漏洞的价值,黑客通常不会浪费到让一个蠕虫同时利用四个漏洞。[6]Stuxnet的体积较大,大约有500KB,[21]并使用了数种编程语言(包括C语言C++),通常恶意软件不会这样做。[1][3]Stuxnet还通过伪装成RealtekJMicron两家公司的数字签名,以绕过安全产品的检测并在短期内不被发现。[21][22]它也有能力通过P2P传播。[21][23]这些功能将需要一个团队,以及检查恶意软件不会使PLC崩溃。在西门子系统维护和故障排除方面拥有多年的经验的埃里克·拜尔斯(Eric Byres)告诉《连线》,编写这些代码需要很多人工作几个月,甚至几年。[21]這樣大費周章的設計,也是該軟體被懷疑有軍事背景的因素。

移除

西门子公司已经发布了一个Stuxnet的检测和清除工具。西门子建议检测到感染的客户联系客户支持,并建议客户安装微软的漏洞补丁并禁用第三方USB设备。[24]

该蠕虫病毒可重新编程外部可编程逻辑控制器(PLC)的能力使得移除过程变得更为复杂。赛门铁克的Liam O'Murchu警告说,仅修复Windows系统可能无法完全解决感染问题,他建议全面检查PLC。此外据推测,错误地移除该蠕虫可导致大量损失。[25]

受影响的国家

赛门铁克的研究表明,截至2010年8月6日,受影响的国家主要有:[26]

受到Stuxnet影响的国家
国家 受感染电脑比例
伊朗 58.85%
印度尼西亚 18.22%
印度 8.31%
阿塞拜疆共和国 2.57%
美国 1.56%
巴基斯坦 1.28%
其他国家 9.2%

据报道,在Stuxnet袭击之后,伊朗“增强了”其网络战能力,并被怀疑对美国银行进行了报复性袭击。[27]

参见条目

参考文献

  1. Robert McMillan. . Computerworld. 16 September 2010 [16 September 2010]. (原始内容存档于2012年5月25日).
  2. . Tehran: Associated Press. 2010-09-25 [2010-09-25]. (原始内容存档于2010-09-25).
  3. Gregg Keizer. . Infoworld. 16 September 2010 [16 September 2010]. (原始内容存档于2012年12月5日).
  4. . Virus Bulletin.
  5. . BBC News.
  6. Fildes, Jonathan. . BBC News. 2010-09-23 [2010-09-23].
  7. . The Daily Telegraph. 2010-09-23 [2010-09-28].
  8. Ethan Bronner & William J. Broad. . NYTimes. 2010-09-29 [2010-10-02].
  9. . Tikun Olam. 2010-09-25 [2010-09-28].
  10. . Economictimes.indiatimes.com. 2010-09-24 [2010-09-28].
  11. ComputerWorld. . Computerworld. September 14, 2010 [3 October 2010].
  12. http://www.reuters.com/article/idUSLDE68N1OI20100924
  13. . Kaspersky Lab. 2010年9月25日 [2010年10月8日]. (原始内容存档于2010年9月29日).
  14. http://news.scotsman.com/world/Iran-39first-victim-of-cyberwar39.6550278.jp
  15. . [2010-10-08]. (原始内容存档于2010-09-29).
  16. http://www.mymacaddress.com/iran-first-victim-of-cyberwar/%5B%5D
  17. Aleksandr Matrosov, Eugene Rodionov, David Harley, and Juraj Malcho. (PDF). [24 September 2010]. (原始内容 (PDF)存档于2010年10月3日).
  18. 陳曉莉. . iThome. [2012-06-04]. (原始内容存档于2013-07-31).
  19. . 中国政府网. 2010年9月27日 [2010年10月8日].
  20. Tom Espiner. . cnet. 20 July 2010 [17 September 2010]. (原始内容存档于2011-01-09).
  21. Kim Zetter. . Wired. 2010-09-23 [2010-09-24]. (原始内容存档于2012-12-17).
  22. . Kaspersky Lab. 2010-09-24 [2010-09-27].
  23. Liam O Murchu. . Symantec. 2010-09-17 [2010-09-24].
  24. . Siemens. [24 September 2010].
  25. . IDG News.
  26. . [30 September 2010].
  27. "Iran denies hacking into American banks" Reuters, 23 September 2012

外部链接

维基共享资源中相关的多媒体资源:震网
This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.