震網
震網(Stuxnet),又稱作超級工廠,是一種Windows平台上的電腦蠕蟲,2010年6月首次被白俄羅斯安全公司VirusBlokAda發現,其名稱是從代碼中的關鍵字得來,它的傳播從2009年6月或更早開始,首次大範圍被報道的是Brian Krebs的安全網誌。它是首個針對工業控制系統的蠕蟲病毒,[1]利用西門子公司控制系統(SIMATIC WinCC/Step7)存在的漏洞感染數據採集與監控系統(SCADA),[2]能向可程式化邏輯控制器(PLC)寫入代碼並將代碼隱藏。[3]這次事件是有史以來第一個包含PLC Rootkit的電腦蠕蟲,[4]也是已知的第一個以關鍵工業基礎設施為目標的蠕蟲。[5]此外,該蠕蟲的可能目標為伊朗使用西門子控制系統的高價值基礎設施。[6][7]據報道,該蠕蟲病毒可能已感染並破壞了伊朗納坦茲的核設施,[8][9]並最終使伊朗的布什爾核電站推遲啟動。[10]不過西門子公司表示,該蠕蟲事實上並沒有造成任何損害。[11]
賽門鐵克安全響應中心進階主任凱文·霍根(Kevin Hogan)指出,約60%的被感染的個人電腦在伊朗,這意味着其目標是當地的工業基礎設施。[12]俄羅斯安全公司卡巴斯基實驗室發佈了一個聲明,認為Stuxnet蠕蟲「是一種十分有效並且可怕的網絡武器原型,這種網絡武器將導致世界上新的軍備競賽,一場網絡軍備競賽時代的到來。」並認為「除非有國家和政府的支援和協助,否則很難發動如此規模的攻擊。」伊朗成為了真實網絡戰的第一個目標。[13][14][15][16]
歷史
2010年6月中旬,該病毒首次由安全公司VirusBlokAda發現,其根源可追溯到2009年6月。[3]Stuxnet蠕蟲的最終編譯時間約為2010年2月3日。[17]
2012年,《紐約時報》報導,美國官員承認這個病毒是由美國國家安全域在以色列協助下研發,以奧林匹克網絡攻擊行動為計劃代號,目的在於阻止伊朗發展核武[18]。
活動
Stuxnet同時利用微軟和西門子公司產品的7個最新漏洞進行攻擊。這7個漏洞中,MS08-067、MS10-046、MS10-061、MS10-073、MS10-092等5個針對Windows系統(其中MS10-046、MS10-061、MS10-073、MS10-092四個屬於0day漏洞),2個針對西門子SIMATIC WinCC系統。[19][13]
它最初通過感染USB快閃記憶體驅動器傳播,然後攻擊被感染網絡中的其他WinCC電腦。一旦進入系統,它將嘗試使用預設密碼來控制軟件。[3]但是,西門子公司不建議更改預設密碼,因為這「可能會影響工廠運作。」[20]
該蠕蟲病毒的複雜性非常罕見,病毒編寫者需要對工業生產過程和工業基礎設施十分了解。[1][3]利用Windows的零日漏洞數量也不同尋常,因為Windows零日漏洞的價值,黑客通常不會浪費到讓一個蠕蟲同時利用四個漏洞。[6]Stuxnet的體積較大,大約有500KB,[21]並使用了數種程式語言(包括C語言和C++),通常惡意軟件不會這樣做。[1][3]Stuxnet還通過偽裝成Realtek與JMicron兩家公司的數碼簽章,以繞過安全產品的檢測並在短期內不被發現。[21][22]它也有能力通過P2P傳播。[21][23]這些功能將需要一個團隊,以及檢查惡意軟件不會使PLC崩潰。在西門子系統維護和故障排除方面擁有多年的經驗的埃里克·拜爾斯(Eric Byres)告訴《連線》,編寫這些代碼需要很多人工作幾個月,甚至幾年。[21]這樣大費周章的設計,也是該軟件被懷疑有軍事背景的因素。
移除
西門子公司已經發佈了一個Stuxnet的檢測和清除工具。西門子建議檢測到感染的客戶聯絡客戶支援,並建議客戶安裝微軟的漏洞修補程式並禁用第三方USB裝置。[24]
該蠕蟲病毒可重新編程外部可程式化邏輯控制器(PLC)的能力使得移除過程變得更為複雜。賽門鐵克的Liam O'Murchu警告說,僅修復Windows系統可能無法完全解決感染問題,他建議全面檢查PLC。此外據推測,錯誤地移除該蠕蟲可導致大量損失。[25]
受影響的國家
賽門鐵克的研究表明,截至2010年8月6日,受影響的國家主要有:[26]
國家 | 受感染電腦比例 |
---|---|
伊朗 | 58.85% |
印度尼西亞 | 18.22% |
印度 | 8.31% |
阿塞拜疆共和國 | 2.57% |
美國 | 1.56% |
巴基斯坦 | 1.28% |
其他國家 | 9.2% |
參見條目
參考文獻
- ^ 1.0 1.1 1.2 Robert McMillan. Siemens: Stuxnet worm hit industrial systems. Computerworld. 16 September 2010 [16 September 2010]. (原始內容存檔於2012年5月25日).
- ^ Iran's Nuclear Agency Trying to Stop Computer Worm. Tehran: Associated Press. 2010-09-25 [2010-09-25]. (原始內容存檔於2010-09-25).
- ^ 3.0 3.1 3.2 3.3 3.4 Gregg Keizer. Is Stuxnet the 'best' malware ever?. Infoworld. 16 September 2010 [16 September 2010]. (原始內容存檔於2012年12月5日).
- ^ Last-minute paper: An indepth look into Stuxnet. Virus Bulletin. [2010-10-08]. (原始內容存檔於2016-02-03).
- ^ Stuxnet worm hits Iran nuclear plant staff computers. BBC News. [2010-10-08]. (原始內容存檔於2021-04-14).
- ^ 6.0 6.1 Fildes, Jonathan. Stuxnet worm 'targeted high-value Iranian assets'. BBC News. 2010-09-23 [2010-09-23]. (原始內容存檔於2021-04-14).
- ^ Stuxnet virus: worm 'could be aimed at high-profile Iranian targets’. The Daily Telegraph. 2010-09-23 [2010-09-28]. (原始內容存檔於2021-04-14).
- ^ Ethan Bronner & William J. Broad. In a Computer Worm, a Possible Biblical Clue. NYTimes. 2010-09-29 [2010-10-02]. (原始內容存檔於2021-04-15).
- ^ Iran Confirms Stuxnet Damage to Nuclear Facilities. Tikun Olam. 2010-09-25 [2010-09-28]. (原始內容存檔於2012-03-04).
- ^ Software smart bomb fired at Iranian nuclear plant: Experts. Economictimes.indiatimes.com. 2010-09-24 [2010-09-28]. (原始內容存檔於2021-11-14).
- ^ ComputerWorld. Siemens: Stuxnet worm hit industrial systems. Computerworld. September 14, 2010 [3 October 2010]. (原始內容存檔於2013-12-15).
- ^ 存档副本. [2010-10-08]. (原始內容存檔於2021-04-14).
- ^ 13.0 13.1 卡巴斯基实验室深度分析Stuxnet蠕虫. Kaspersky Lab. 2010年9月25日 [2010年10月8日]. (原始內容存檔於2010年9月29日).
- ^ 存档副本. [2010-10-08]. (原始內容存檔於2010-11-20).
- ^ 存档副本. [2010-10-08]. (原始內容存檔於2010-09-29).
- ^ http://www.mymacaddress.com/iran-first-victim-of-cyberwar/[永久失效連結]
- ^ Aleksandr Matrosov, Eugene Rodionov, David Harley, and Juraj Malcho. Stuxnet under the microscope (PDF). [24 September 2010]. (原始內容 (PDF)存檔於2010年10月3日).
- ^ 陳曉莉. 報導:美國政府涉及開發與散布Stuxnet蠕蟲. iThome. [2012-06-04]. (原始內容存檔於2013-07-31).
- ^ 计算机病毒预警:当心U盘传播Stuxnet病毒. 中國政府網. 2010年9月27日 [2010年10月8日]. (原始內容存檔於2016年9月20日).
- ^ Tom Espiner. Siemens warns Stuxnet targets of password risk. cnet. 20 July 2010 [17 September 2010]. (原始內容存檔於2011-01-09).
- ^ 21.0 21.1 21.2 21.3 Kim Zetter. Blockbuster Worm Aimed for Infrastructure, But No Proof Iran Nukes Were Target. Wired. 2010-09-23 [2010-09-24]. (原始內容存檔於2012-12-17).
- ^ Kaspersky Lab provides its insights on Stuxnet worm. Kaspersky Lab. 2010-09-24 [2010-09-27]. (原始內容存檔於2016-03-04).
- ^ Liam O Murchu. Stuxnet P2P component. Symantec. 2010-09-17 [2010-09-24]. (原始內容存檔於2019-01-17).
- ^ SIMATIC WinCC / SIMATIC PCS 7: Information concerning Malware / Virus / Trojan. Siemens. [24 September 2010]. (原始內容存檔於2014-11-29).
- ^ Siemens: Stuxnet Worm Hit Industrial Systems. IDG News. [2010-10-09]. (原始內容存檔於2012-07-28).
- ^ Factbox: What is Stuxnet?. [30 September 2010]. (原始內容存檔於2020-12-07).
- ^ "Iran denies hacking into American banks (頁面存檔備份,存於互聯網檔案館)" Reuters, 23 September 2012
外部連結
- Siemens - Industry Automation and Drive Technologies - Service& Support - SIMATIC WinCC / SIMATIC PCS 7: Information concerning Malware / Virus / Trojan
- Stuxnet Under the Microscope, an analysis of Stuxnet white paper, ESET
- Security analysis of Stuxnet (頁面存檔備份,存於互聯網檔案館)
- Exploring Stuxnet’s PLC Infection Process (頁面存檔備份,存於互聯網檔案館), Symantec
- Super Nuclear Worm Invades Kazakhstan - Hollywood Salivates
- Stuxnet Questions and Answers (頁面存檔備份,存於互聯網檔案館), F-Secure
- Stuxnet: Fact vs. theory[失效連結] by Elinor Mills for CNET News October 5, 2010
- Stuxnet: Cyber Attack on Iran (頁面存檔備份,存於互聯網檔案館) - PressTV video