震網Stuxnet),又稱作超級工廠,是一種Windows平台上的電腦蠕蟲,2010年6月首次被白俄羅斯安全公司VirusBlokAda英語VirusBlokAda發現,其名稱是從代碼中的關鍵字得來,它的傳播從2009年6月或更早開始,首次大範圍被報道的是Brian Krebs的安全網誌。它是首個針對工業控制系統的蠕蟲病毒,[1]利用西門子公司控制系統(SIMATIC WinCC/Step7)存在的漏洞感染數據採集與監控系統(SCADA),[2]能向可程式化邏輯控制器(PLC)寫入代碼並將代碼隱藏。[3]這次事件是有史以來第一個包含PLC Rootkit的電腦蠕蟲,[4]也是已知的第一個以關鍵工業基礎設施為目標的蠕蟲。[5]此外,該蠕蟲的可能目標為伊朗使用西門子控制系統的高價值基礎設施。[6][7]據報道,該蠕蟲病毒可能已感染並破壞了伊朗納坦茲的核設施,[8][9]並最終使伊朗的布什爾核電站推遲啟動。[10]不過西門子公司表示,該蠕蟲事實上並沒有造成任何損害。[11]

一個被設計為代表「震網」病毒的標誌。

賽門鐵克安全響應中心進階主任凱文·霍根(Kevin Hogan)指出,約60%的被感染個人電腦伊朗,這意味着其目標是當地的工業基礎設施。[12]俄羅斯安全公司卡巴斯基實驗室發佈了一個聲明,認為Stuxnet蠕蟲「是一種十分有效並且可怕的網絡武器原型,這種網絡武器將導致世界上新的軍備競賽,一場網絡軍備競賽時代的到來。」並認為「除非有國家和政府的支援和協助,否則很難發動如此規模的攻擊。」伊朗成為了真實網絡戰的第一個目標。[13][14][15][16]

歷史

2010年6月中旬,該病毒首次由安全公司VirusBlokAda發現,其根源可追溯到2009年6月。[3]Stuxnet蠕蟲的最終編譯時間約為2010年2月3日。[17]

2012年,《紐約時報》報導,美國官員承認這個病毒是由美國國家安全域以色列協助下研發,以奧林匹克網絡攻擊行動英語Operation Olympic Games為計劃代號,目的在於阻止伊朗發展核武[18]

活動

 
自動化軟件Step 7與Siemens PLC之間的正常通訊
 
Step 7與Siemens PLC的通訊被Stuxnet劫持

Stuxnet同時利用微軟和西門子公司產品的7個最新漏洞進行攻擊。這7個漏洞中,MS08-067、MS10-046、MS10-061、MS10-073、MS10-092等5個針對Windows系統(其中MS10-046、MS10-061、MS10-073、MS10-092四個屬於0day漏洞),2個針對西門子SIMATIC WinCC英語SIMATIC WinCC系統。[19][13]

它最初通過感染USB快閃記憶體驅動器傳播,然後攻擊被感染網絡中的其他WinCC電腦。一旦進入系統,它將嘗試使用預設密碼來控制軟件。[3]但是,西門子公司不建議更改預設密碼,因為這「可能會影響工廠運作。」[20]

該蠕蟲病毒的複雜性非常罕見,病毒編寫者需要對工業生產過程和工業基礎設施十分了解。[1][3]利用Windows零日漏洞數量也不同尋常,因為Windows零日漏洞的價值,黑客通常不會浪費到讓一個蠕蟲同時利用四個漏洞。[6]Stuxnet的體積較大,大約有500KB,[21]並使用了數種程式語言(包括C語言C++),通常惡意軟件不會這樣做。[1][3]Stuxnet還通過偽裝成RealtekJMicron兩家公司的數碼簽章,以繞過安全產品的檢測並在短期內不被發現。[21][22]它也有能力通過P2P傳播。[21][23]這些功能將需要一個團隊,以及檢查惡意軟件不會使PLC崩潰。在西門子系統維護和故障排除方面擁有多年的經驗的埃里克·拜爾斯(Eric Byres)告訴《連線》,編寫這些代碼需要很多人工作幾個月,甚至幾年。[21]這樣大費周章的設計,也是該軟件被懷疑有軍事背景的因素。

移除

西門子公司已經發佈了一個Stuxnet的檢測和清除工具。西門子建議檢測到感染的客戶聯絡客戶支援,並建議客戶安裝微軟的漏洞修補程式並禁用第三方USB裝置。[24]

該蠕蟲病毒可重新編程外部可程式化邏輯控制器(PLC)的能力使得移除過程變得更為複雜。賽門鐵克的Liam O'Murchu警告說,僅修復Windows系統可能無法完全解決感染問題,他建議全面檢查PLC。此外據推測,錯誤地移除該蠕蟲可導致大量損失。[25]

受影響的國家

賽門鐵克的研究表明,截至2010年8月6日,受影響的國家主要有:[26]

受到Stuxnet影響的國家
國家 受感染電腦比例
伊朗 58.85%
印度尼西亞 18.22%
印度 8.31%
阿塞拜疆共和國 2.57%
美國 1.56%
巴基斯坦 1.28%
其他國家 9.2%

據報道,在Stuxnet襲擊之後,伊朗「增強了」其網絡戰能力,並被懷疑對美國銀行進行了報復性襲擊。[27]

參見條目

參考文獻

  1. ^ 1.0 1.1 1.2 Robert McMillan. Siemens: Stuxnet worm hit industrial systems. Computerworld. 16 September 2010 [16 September 2010]. (原始內容存檔於2012年5月25日). 
  2. ^ Iran's Nuclear Agency Trying to Stop Computer Worm. Tehran: Associated Press. 2010-09-25 [2010-09-25]. (原始內容存檔於2010-09-25). 
  3. ^ 3.0 3.1 3.2 3.3 3.4 Gregg Keizer. Is Stuxnet the 'best' malware ever?. Infoworld. 16 September 2010 [16 September 2010]. (原始內容存檔於2012年12月5日). 
  4. ^ Last-minute paper: An indepth look into Stuxnet. Virus Bulletin. [2010-10-08]. (原始內容存檔於2016-02-03). 
  5. ^ Stuxnet worm hits Iran nuclear plant staff computers. BBC News. [2010-10-08]. (原始內容存檔於2021-04-14). 
  6. ^ 6.0 6.1 Fildes, Jonathan. Stuxnet worm 'targeted high-value Iranian assets'. BBC News. 2010-09-23 [2010-09-23]. (原始內容存檔於2021-04-14). 
  7. ^ Stuxnet virus: worm 'could be aimed at high-profile Iranian targets’. The Daily Telegraph. 2010-09-23 [2010-09-28]. (原始內容存檔於2021-04-14). 
  8. ^ Ethan Bronner & William J. Broad. In a Computer Worm, a Possible Biblical Clue. NYTimes. 2010-09-29 [2010-10-02]. (原始內容存檔於2021-04-15). 
  9. ^ Iran Confirms Stuxnet Damage to Nuclear Facilities. Tikun Olam. 2010-09-25 [2010-09-28]. (原始內容存檔於2012-03-04). 
  10. ^ Software smart bomb fired at Iranian nuclear plant: Experts. Economictimes.indiatimes.com. 2010-09-24 [2010-09-28]. (原始內容存檔於2021-11-14). 
  11. ^ ComputerWorld. Siemens: Stuxnet worm hit industrial systems. Computerworld. September 14, 2010 [3 October 2010]. (原始內容存檔於2013-12-15). 
  12. ^ 存档副本. [2010-10-08]. (原始內容存檔於2021-04-14). 
  13. ^ 13.0 13.1 卡巴斯基实验室深度分析Stuxnet蠕虫. Kaspersky Lab. 2010年9月25日 [2010年10月8日]. (原始內容存檔於2010年9月29日). 
  14. ^ 存档副本. [2010-10-08]. (原始內容存檔於2010-11-20). 
  15. ^ 存档副本. [2010-10-08]. (原始內容存檔於2010-09-29). 
  16. ^ http://www.mymacaddress.com/iran-first-victim-of-cyberwar/[永久失效連結]
  17. ^ Aleksandr Matrosov, Eugene Rodionov, David Harley, and Juraj Malcho. Stuxnet under the microscope (PDF). [24 September 2010]. (原始內容 (PDF)存檔於2010年10月3日). 
  18. ^ 陳曉莉. 報導:美國政府涉及開發與散布Stuxnet蠕蟲. iThome. [2012-06-04]. (原始內容存檔於2013-07-31). 
  19. ^ 计算机病毒预警:当心U盘传播Stuxnet病毒. 中國政府網. 2010年9月27日 [2010年10月8日]. (原始內容存檔於2016年9月20日). 
  20. ^ Tom Espiner. Siemens warns Stuxnet targets of password risk. cnet. 20 July 2010 [17 September 2010]. (原始內容存檔於2011-01-09). 
  21. ^ 21.0 21.1 21.2 21.3 Kim Zetter. Blockbuster Worm Aimed for Infrastructure, But No Proof Iran Nukes Were Target. Wired. 2010-09-23 [2010-09-24]. (原始內容存檔於2012-12-17). 
  22. ^ Kaspersky Lab provides its insights on Stuxnet worm. Kaspersky Lab. 2010-09-24 [2010-09-27]. (原始內容存檔於2016-03-04). 
  23. ^ Liam O Murchu. Stuxnet P2P component. Symantec. 2010-09-17 [2010-09-24]. (原始內容存檔於2019-01-17). 
  24. ^ SIMATIC WinCC / SIMATIC PCS 7: Information concerning Malware / Virus / Trojan. Siemens. [24 September 2010]. (原始內容存檔於2014-11-29). 
  25. ^ Siemens: Stuxnet Worm Hit Industrial Systems. IDG News. [2010-10-09]. (原始內容存檔於2012-07-28). 
  26. ^ Factbox: What is Stuxnet?. [30 September 2010]. (原始內容存檔於2020-12-07). 
  27. ^ "Iran denies hacking into American banks頁面存檔備份,存於互聯網檔案館)" Reuters, 23 September 2012

外部連結