掀开Stuxnet病毒的神秘面纱 － 网络空间的精确制导武器

　　2010年岁末，德国混沌电脑俱乐部评出了2010年最超级病毒，Stuxnet病毒获此“殊荣”（与之并列的是Mariposa僵尸网络）。自2010年年中被发现以来，Stuxnet病毒因其设计精妙，疑似被用于攻击伊朗核设施而被各界广泛关注。随着研究的逐渐深入，Stuxnet病毒的神秘面纱被层层拨开，终于露出了其“精确制导数字武器”的真面目。近日更有美国《纽约时报》文章证实这一事件的始作俑者就是美国和以色列。占据数字时代制高点的美欧国家，在网络世界里悄无声息地打了一场没有硝烟的战争。然而，在一些人欣慰伊朗核计划被迟滞的同时，更多的人将不得不忧虑数字武器的潘多拉魔盒一旦被打开，网络恐怖行为可能会越来越多。

　　网络空间的精确制导武器

　　Stuxnet病毒被誉为“网络空间的精确制导武器”可谓实至名归。研究结果显示，Stuxnet病毒攻击目标锁定为西门子的Simatic WinCC SCADA（数据采集与监控）系统，并配备有两个“数字弹头”。

　　第一个弹头攻击西门子S7-300(315)系统，目标锁定于伊朗在纳坦兹的浓缩铀工厂。Stuxnet病毒只作用于两个特定制造商的变频器，一个在芬兰，另一个落户于伊朗。变频器模块和这种组件能够保持极高的输出频率，可以用来提炼浓缩铀，在美国，这类产品只要输出频率超过600赫兹就会因核监管的理由而限制出口。Stuxnet病毒只有当变频器在807赫兹至1210赫兹的频率工作时才进行操纵。据称在近17个月的时间内，Stuxnet病毒潜伏在目标系统特定的组件里，改变离心机旋转速度的控制，通过让离心机快速转动然后急剧停止来使离心机受损伤。虽然其没有直接破坏离心机，但它使轴承快速磨损，导致设备需要不断更新和维修。而此前，多个网络安全公司已经通过研究和模拟分析确认了Stuxnet病毒的攻击目标就是伊朗的核设施。

　　第二个弹头攻击西门子的S7-400(417)系统，目标是布什尔核电厂汽轮机控制。它采用了中间人攻击（MITM）的方式，让实际控制代码强制设备进行错误的输入输出，其代码显然比针对S7-315系统的代码精妙。根据研究人员分析，没有被激活的Stuxnet代码仍然定期更新过程映射，但是Stuxnet代码可以传递原来通过物理映射输入的初始值，也可以不传递，这会使汽轮机的控制受到干扰，极端情况下，涡轮会遭到破坏。

　　另外，Stuxnet病毒的活动非常隐蔽，代码短小精妙，具备极强的自我保护意识。一方面，Stuxnet病毒可以用Windows Rootkit把自己隐藏起来，在潜入PLC（可编程控制器）之前能伪装成像比较文件时间等一类作业的系统文件，其具有挂入编程软件把自己装入PLC的能力，当程序员检查PLC的代码时也看不见这个病毒。而通过向西门子工业编程软件STEP 7中注入恶意DLL（动态链接库），可实现即便清除Stuxnet仍可通过启动STEP 7软件再次感染目标主机。另一方面，Stuxnet病毒发动攻击侵入离心机操控系统后，会首先记录正常离心机的正常运转数据，攻击成功后，离心机运转速度失控，但监控设备收到的却是Stuxnet病毒发送的“正常数据”，令监控人员无法及时察觉，从而可最大限度达到破坏效果。

　　一场精心谋划的网络战役

　　自Stuxnet病毒被公众发现以来，人们一直怀疑它出自美国和以色列之手。从Stuxnet病毒精妙的设计和其精准的攻击目标来推测也支持这样的结论。因此，当美国《纽约时报》1月15日确认这一信息时，人们已不再觉得惊讶。不过Stuxnet病毒研制和实施攻击过程中的一些细节却仍让人感慨。

　　首先，报道称这项计划获得了先后两任美国总统的支持，可见对其重视程度。伊朗核问题的复杂性并没有给西方国家留下太多的回旋空间，谈判没有进展，传统的军事手段又羁绊太多，因此才转而寻求高科技的网络攻击，既达到迟滞伊朗核计划的目的，又不至于陷入另外一场没有胜利希望的战争。“数字导弹”的袭击不会带来人员伤亡，万一失手也能悄悄蒙混过去，不会导致国内外民众的强烈抗议。

　　其次，精心的准备确保了成功。且不说Stuxnet病毒的研制耗费了多少时间和人力，就是在程序编制完成后，为了测试病毒入侵效果，以色列还专门建造了离心机，模拟伊朗纳坦兹核设施，在内盖夫沙漠里的迪莫纳核基地展开测试，以确保病毒能对伊朗核设施内的离心机造成有效破坏。事实也证明这样的测试成效显著，Stuxnet病毒仅对伊朗核设施产生了影响，其后虽然扩散至全球，但除了四处“游荡”，似乎并没有造成严重的后果。

　　最后，报道还披露说，英国和德国在知情或不知情的情况下为制造Stuxnet病毒提供了帮助。尤其是其产品被作为靶子的西门子公司，在2008年还与美国能源部的一个研究机构在防范网络攻击方面进行过合作，当时发现的漏洞随后就被用于Stuxnet病毒的研发之中。不管事后西门子和微软公司如何解释其在此事件中也是“受害者”，他们的信誉显然已大打折扣。对于发展中国家的用户而言，将来更难完全相信发达国家的电子产品中没有留下任何后门和漏洞了。

　　网络恐怖会越来越多

　　作为网络空间第一枚精确制导的数字导弹，Stuxnet病毒对世界的影响绝不仅限于迟滞了伊朗的核计划。由于其极强的隐蔽性和重复感染能力，Stuxnet病毒本身将可能“永远”游荡在网络世界之中。因为不满足条件它不会启动，目前对于个人电脑用户而言它并不可怕，然而，没有人能保证它会始终“安分守己”。

　　Stuxnet病毒开创了恶意攻击工业控制设备的先河。近来，除了Simatic WinCC SCADA系统漏洞以外，其他SCADA系统的安全漏洞也被陆续发现，其中也包括国产的SCADA产品。人们必须对此高度重视，因为这些系统在全球范围内被广泛地应用于输油管道、发电厂、大型通信系统、机场、轮船甚至军事设施中。换句话说，Stuxnet病毒将迫使全世界的工业控制系统加强安全措施。

　　与此相对，随着对Stuxnet病毒研究的深入，安全专家在惊讶病毒设计精妙的同时，也从另外一个方面详细展示了数字武器的设计方法。从某种意义上说，Stuxnet病毒带来了一次网络攻击武器的普及教育，随之而来的不仅是Stuxnet病毒利用过的漏洞被其他病毒广泛利用，Stuxnet病毒也可能被改写而带来肆意的伤害性，人们将不得不面对更多类似的网络武器攻击。

　　或许就眼前的战术层面看，西方国家可能是成功的，充分利用了网络时代的数字优势，自己毫发无损就把对手折腾够呛。然而如果考虑到，从此以后更多的国家和组织将加入到网络军备竞赛中来，发动网络战争将不再顾忌道义的话，战略上的得失将另当别论。信息科技发达使西方国家占据了数字的优势，网络世界的战斗仿佛就像机枪对长矛，然而硬币总有两面，优势的另一面是西方国家高度依赖网络信息技术，目标众多，遭攻击的可能性也大。随着网络攻击技术的泛滥，没有任何特定攻击目的的网络恐怖会越来越多。


http://tech.xinmin.cn/2011/01/25/9065917.html





　　2010年岁末，德国混沌电脑俱乐部评出了2010年最超级病毒，Stuxnet病毒获此“殊荣”（与之并列的是Mariposa僵尸网络）。自2010年年中被发现以来，Stuxnet病毒因其设计精妙，疑似被用于攻击伊朗核设施而被各界广泛关注。随着研究的逐渐深入，Stuxnet病毒的神秘面纱被层层拨开，终于露出了其“精确制导数字武器”的真面目。近日更有美国《纽约时报》文章证实这一事件的始作俑者就是美国和以色列。占据数字时代制高点的美欧国家，在网络世界里悄无声息地打了一场没有硝烟的战争。然而，在一些人欣慰伊朗核计划被迟滞的同时，更多的人将不得不忧虑数字武器的潘多拉魔盒一旦被打开，网络恐怖行为可能会越来越多。

　　网络空间的精确制导武器

　　Stuxnet病毒被誉为“网络空间的精确制导武器”可谓实至名归。研究结果显示，Stuxnet病毒攻击目标锁定为西门子的Simatic WinCC SCADA（数据采集与监控）系统，并配备有两个“数字弹头”。

　　第一个弹头攻击西门子S7-300(315)系统，目标锁定于伊朗在纳坦兹的浓缩铀工厂。Stuxnet病毒只作用于两个特定制造商的变频器，一个在芬兰，另一个落户于伊朗。变频器模块和这种组件能够保持极高的输出频率，可以用来提炼浓缩铀，在美国，这类产品只要输出频率超过600赫兹就会因核监管的理由而限制出口。Stuxnet病毒只有当变频器在807赫兹至1210赫兹的频率工作时才进行操纵。据称在近17个月的时间内，Stuxnet病毒潜伏在目标系统特定的组件里，改变离心机旋转速度的控制，通过让离心机快速转动然后急剧停止来使离心机受损伤。虽然其没有直接破坏离心机，但它使轴承快速磨损，导致设备需要不断更新和维修。而此前，多个网络安全公司已经通过研究和模拟分析确认了Stuxnet病毒的攻击目标就是伊朗的核设施。

　　第二个弹头攻击西门子的S7-400(417)系统，目标是布什尔核电厂汽轮机控制。它采用了中间人攻击（MITM）的方式，让实际控制代码强制设备进行错误的输入输出，其代码显然比针对S7-315系统的代码精妙。根据研究人员分析，没有被激活的Stuxnet代码仍然定期更新过程映射，但是Stuxnet代码可以传递原来通过物理映射输入的初始值，也可以不传递，这会使汽轮机的控制受到干扰，极端情况下，涡轮会遭到破坏。

　　另外，Stuxnet病毒的活动非常隐蔽，代码短小精妙，具备极强的自我保护意识。一方面，Stuxnet病毒可以用Windows Rootkit把自己隐藏起来，在潜入PLC（可编程控制器）之前能伪装成像比较文件时间等一类作业的系统文件，其具有挂入编程软件把自己装入PLC的能力，当程序员检查PLC的代码时也看不见这个病毒。而通过向西门子工业编程软件STEP 7中注入恶意DLL（动态链接库），可实现即便清除Stuxnet仍可通过启动STEP 7软件再次感染目标主机。另一方面，Stuxnet病毒发动攻击侵入离心机操控系统后，会首先记录正常离心机的正常运转数据，攻击成功后，离心机运转速度失控，但监控设备收到的却是Stuxnet病毒发送的“正常数据”，令监控人员无法及时察觉，从而可最大限度达到破坏效果。

　　一场精心谋划的网络战役

　　自Stuxnet病毒被公众发现以来，人们一直怀疑它出自美国和以色列之手。从Stuxnet病毒精妙的设计和其精准的攻击目标来推测也支持这样的结论。因此，当美国《纽约时报》1月15日确认这一信息时，人们已不再觉得惊讶。不过Stuxnet病毒研制和实施攻击过程中的一些细节却仍让人感慨。

　　首先，报道称这项计划获得了先后两任美国总统的支持，可见对其重视程度。伊朗核问题的复杂性并没有给西方国家留下太多的回旋空间，谈判没有进展，传统的军事手段又羁绊太多，因此才转而寻求高科技的网络攻击，既达到迟滞伊朗核计划的目的，又不至于陷入另外一场没有胜利希望的战争。“数字导弹”的袭击不会带来人员伤亡，万一失手也能悄悄蒙混过去，不会导致国内外民众的强烈抗议。

　　其次，精心的准备确保了成功。且不说Stuxnet病毒的研制耗费了多少时间和人力，就是在程序编制完成后，为了测试病毒入侵效果，以色列还专门建造了离心机，模拟伊朗纳坦兹核设施，在内盖夫沙漠里的迪莫纳核基地展开测试，以确保病毒能对伊朗核设施内的离心机造成有效破坏。事实也证明这样的测试成效显著，Stuxnet病毒仅对伊朗核设施产生了影响，其后虽然扩散至全球，但除了四处“游荡”，似乎并没有造成严重的后果。

　　最后，报道还披露说，英国和德国在知情或不知情的情况下为制造Stuxnet病毒提供了帮助。尤其是其产品被作为靶子的西门子公司，在2008年还与美国能源部的一个研究机构在防范网络攻击方面进行过合作，当时发现的漏洞随后就被用于Stuxnet病毒的研发之中。不管事后西门子和微软公司如何解释其在此事件中也是“受害者”，他们的信誉显然已大打折扣。对于发展中国家的用户而言，将来更难完全相信发达国家的电子产品中没有留下任何后门和漏洞了。

　　网络恐怖会越来越多

　　作为网络空间第一枚精确制导的数字导弹，Stuxnet病毒对世界的影响绝不仅限于迟滞了伊朗的核计划。由于其极强的隐蔽性和重复感染能力，Stuxnet病毒本身将可能“永远”游荡在网络世界之中。因为不满足条件它不会启动，目前对于个人电脑用户而言它并不可怕，然而，没有人能保证它会始终“安分守己”。

　　Stuxnet病毒开创了恶意攻击工业控制设备的先河。近来，除了Simatic WinCC SCADA系统漏洞以外，其他SCADA系统的安全漏洞也被陆续发现，其中也包括国产的SCADA产品。人们必须对此高度重视，因为这些系统在全球范围内被广泛地应用于输油管道、发电厂、大型通信系统、机场、轮船甚至军事设施中。换句话说，Stuxnet病毒将迫使全世界的工业控制系统加强安全措施。

　　与此相对，随着对Stuxnet病毒研究的深入，安全专家在惊讶病毒设计精妙的同时，也从另外一个方面详细展示了数字武器的设计方法。从某种意义上说，Stuxnet病毒带来了一次网络攻击武器的普及教育，随之而来的不仅是Stuxnet病毒利用过的漏洞被其他病毒广泛利用，Stuxnet病毒也可能被改写而带来肆意的伤害性，人们将不得不面对更多类似的网络武器攻击。

　　或许就眼前的战术层面看，西方国家可能是成功的，充分利用了网络时代的数字优势，自己毫发无损就把对手折腾够呛。然而如果考虑到，从此以后更多的国家和组织将加入到网络军备竞赛中来，发动网络战争将不再顾忌道义的话，战略上的得失将另当别论。信息科技发达使西方国家占据了数字的优势，网络世界的战斗仿佛就像机枪对长矛，然而硬币总有两面，优势的另一面是西方国家高度依赖网络信息技术，目标众多，遭攻击的可能性也大。随着网络攻击技术的泛滥，没有任何特定攻击目的的网络恐怖会越来越多。


http://tech.xinmin.cn/2011/01/25/9065917.html