震网病毒的秘密
震网病毒起源
《骇客交锋》背后看不见的交锋:解密中美伊以新型国家网战2014年11月,以索尼影像公司遭到黑客攻击为导火索,美国、朝鲜两国在网络上交相攻伐(详见钛媒体文章:《“黑客攻击”也能当借口,奥巴马签署行政命令追加对朝鲜制裁》),引发某些媒体惊呼道:“下一场战争,将是网络战争?”钛媒体科技作者“灯下黑客”告诉我们,不仅仅是下一场战争,实际上,上一场战争已经是网络战争,国家间的网络战早已拉开帷幕网络战争时代开始于2006年,主角正是震网病毒。
它在什么背景下被研发出来的?执行了怎样的命令?达到了怎样的效果?对今天的我们有怎样的启示?有意思的是,作为第一件经过实战检验的病毒武器,震网病毒正式开启了网络战争时代的大门。
而因为网战的隐蔽性,大众往往都是看不见的,唯一产生的看得见的成果,却是艺术界受此影响和传导作用产生的一系列艺术作品,例如2015年1月16日,北美开始上映一部新片:《骇客交锋》(Blackhat)。
钛媒体作者灯下黑客将这场大战的背后故事一一解答:2014年11月,索尼影像公司遭到黑客攻击,电脑网络全部瘫痪,职工一度只能靠纸笔办公,仿佛回到三十年前。
黑客泄露了大批公司机密,并且要求取消上映《刺杀金正恩》(TheInterview)一片,否则将发动更多袭击。
此举被美国政府定性为恐怖威胁,认为它意在破坏美国的言论自由。
根据网络攻击的痕迹,美国还揭露出此番攻击的幕后主使,正是金正恩领导下的朝鲜政府。
12月底,朝鲜也受到网络攻击,全国范围内的网络也都无法使用,怀疑是遭到了美国的报复。
美朝两国在网络上交相攻伐,引发某些媒体惊呼道:“下一场战争,将是网络战争?“答案是明显的:不仅仅是下一场战争,实际上,上一场战争已经是网络战争。
震网病毒是什么?2006至2010年,著名的震网病毒曾经入侵伊朗核工厂长达五年之久,严重破坏了伊朗核计划。
那次入侵的战场只在网络之间,武器也只是软件程序,但它却完全符合最严格的战争定义:它发生于国家之间,它针对军事设施和人员,它企图达到某种政治目。
黑客越来越黑 震网病毒袭击伊朗核电站
黑客越来越黑震网病毒袭击伊朗核电站荀子在《劝学》中道:青,取之于蓝,而青于蓝;冰,水为之,而寒于水。
黑客最早源自英文hacker,原指热心于计算机技术,水平高超的电脑专家,尤其是程序设计人员。
但到了今天,黑客一词已被用于泛指那些专门利用电脑网络搞破坏或恶作剧的家伙,对这些人的正确英文叫法是Cracker,有人翻译成“骇客”。
随着互联网不断扩张与升级,黑客魔爪已经从互联网延伸至汽车(相关阅读:红色警报!黑客入侵会导致汽车刹车失灵)、电网甚至成为国家之间战争的机器。
在这个网民安全意识不够成熟、安全防护措施还不完善的黑产业无比红火的年代,在金钱与利益的驱动下,黑客越来越黑,病毒越来越毒。
病毒与黑客成未来战争中的枪炮与士兵网络成为未来战争的兵家必争平台之一,在对未来战争规模的判断上,美国和俄罗斯的军事专家都认为爆发全面核战争的可能性几乎为零,未来战争将是综合性高技术的“非接触战争”,单靠某一种技术、某一种武器装备、某一种领域的优势,将很难左右武装冲突的结局。
网络战和电子战固然将在未来战争中占据重要地位,但只有二者的结合即信息化战争,才是未来的主要战争形式。
病毒与黑客成未来战争中的枪炮与士兵“军人是战争的主人,战争是为军人创造的”,这句话在未来战争中将不再适用。
一些掌握尖端技术的“不穿军装的人”将在未来战场以外的地方决定着战争结局。
这也许是新世纪新战争的最大特点。
美国国防部现在已经开始网罗计算机“黑客”,准备在未来战争中将其用于瘫痪敌方计算机和通信指挥系统。
近日,计算机安全专家发现了一种威力巨大的“网络蠕虫病毒”。
在对这种名为“震网”的病毒进行了深入分析后,越来越多的人相信,这可能是全球第一种投入实战的网络武器,它的打击对象或许就是饱受西方谴责的伊朗布舍尔核电站。
伊朗半官方的通讯社报道,该国核能机构正采取一切必要措施来清除入侵电脑系统的“蠕虫病毒”。
外界普遍认为,该病毒可能系伊朗的敌人专门为破坏布舍尔核电站而“量身定做”的。
【推荐下载】肆虐伊朗工业控制系统的三个超级病毒
张小只智能机械工业网
张小只机械知识库肆虐伊朗工业控制系统的三个超级病毒
超级病毒又来了!近日,伊朗南部的一位国防官员表示,该地区的一家大型发电厂以及多家工业厂家再次遭到了超级病毒Stuxnet的袭击。
此前媒体已经多次报道伊朗遭受网络攻击。
伊朗是三个超级病毒震网(Stuxnet)、毒区(Duqu)和火焰(Flame)攻击的重灾区。
众所周知,超级病毒结构十分复杂,非一般人和组织能制作出来;另外,超级病毒的攻击目标非常明确,如伊朗的核电站核心设施,这样的攻击不像是一般黑客所为。
或许我们可以大胆预测,地区之间的网络战争已经打响。
超级病毒究竟有多厉害?真的能担当网络战争的重任吗?下面我们来简要了解一下上述三个超级病毒。
震网(Stuxnet)病毒,是一种蠕虫程序,于2010年被发现,是世界上首个网络超级武器。
震网病毒专门针对德国西门子公司的工业控制系统,如此明确的攻击目标使其获得世界首枚数字弹头的称号。
震网曾经感染了全球超过45000个网络,伊朗遭到的攻击最为严重。
伊朗基础设施大量使用西门子公司的工业控制系统,由此招致60%的个人电脑遭受攻击:大约3万个互联网终端和布什尔核电站员工个人电脑遭感染,并且震网试图破坏伊朗进行铀浓缩的离心机。
由此看来,可以造成工业破坏的震网可以算作合格的战争武器了。
毒区(Duqu)是出现于2011年继震网蠕虫后最为恶性的一种可窃取信息的蠕虫,而且与震网一样,毒区大多数出现在工控系统中。
然而与震网不同,毒区的目的是收集与攻击目标有关的各种情报。
它收集密。
《零日漏洞:震网病毒全揭秘》Countdown to Zero Day: Stuxnet and the Launch of the World's First Digital Weapon
出版物刊名: 汕头大学学报:人文社会科学版
页码: 156-156页
年卷期: 2016年 第6期
主题词: First;病毒;the;to;of;《纽约时报》;《连线》杂志;国际关系;
摘要:无论在网络战发展史上,还是国际关系层面,美国联手以色列对伊朗核设施实施攻击的震网事件,都是里程碑式的。
震网病毒作为全球范围内第一个已知的,以政府为背景的网络武器,利用巧妙、精心设计的机制,对伊朗核设施成功进行攻击。
这个事件通过《纽约时报》2012年6月首次披露,迄今各种传说和演绎,充斥着阴谋论和想象力。
KimZetter著作《零日漏洞》让我们重温震网事件,是目前关于震网病毒入侵伊朗核设施事件最为全面和权威的读物。
全书共分为序幕和19个章节,基于广泛采访事件相关人物,多方收集一手信息,包含了大量之前从未被披露过的有关震网的信息。
作为一名独立记者,KimZetter曾经为《连线》杂志写过100多篇文章,本书基于卡巴斯基实验室全球研究与分析团队成员的采访,精心梳理而成的一本非小说类著作。
2016年,中国读者可以先欣赏基于本书完成的纪录片《零日攻击》。
震网_深度分析
震网病毒——设计思路的深度分析震网病毒,英文名称是Stuxnet,第一个针对工业控制系统的蠕虫病毒,第一个被发现的网络攻击武器。
2010年6月首次被白俄罗斯安全公司VirusBlokAda发现,其名称是从代码中的关键字得来,这是第一次发现震网病毒,实际上这还是震网病毒的第二个版本。
2007年有人在计算机信息安全网站VirusTotal上提交了一段代码,后来被证实是震网病毒的第一个版本,至少是我们已知的第一个。
对于第一个震网病毒变种,后来大家基于震网病毒的第二个版本的了解基础上,才意识到这是震网病毒。
震网病毒的攻击目标是伊朗核设施。
据全球最大网络安全公司赛门铁克(Symantec)和微软(Microsoft)公司的研究,近60%的感染发生在伊朗,其次为印尼(约20%)和印度(约10%),阿塞拜疆、美国与巴基斯坦等地亦有小量个案。
2011年1月,俄罗斯常驻北约代表罗戈津表示,这种病毒可能给伊朗布什尔核电站造成严重影响,导致有毒的放射性物质泄漏,其危害将不亚于1986年发生的切尔诺贝利核电站事故。
我们这次分析的案例是纳坦兹核设施。
纳坦兹核基地对于伊朗的核计划非常重要,它是伊朗能否顺利完成利用核能发电的关键。
纳坦兹铀浓缩工厂用浓缩铀的关键原料———六氟化铀(UF6),灌入安装在这里的离心机,提炼浓缩铀,为布什尔核电站发电提供核燃料。
进一步分析它是如何攻击纳坦兹核设施并隐藏自己的?它是如何渗透纳坦兹核设施内部网络的?它是如何违背开发者的期望并扩散到纳坦兹之外的?IR-1离心机是伊朗铀浓缩的根基。
它可以追溯到从20世纪60年代末由欧洲设计,70年代初被窃取。
全金属设计的IR-1是可以稳定的运行的,前提是其零件的制造具有一定精度,但是伊朗人其零件加工工艺不达标。
因此他们不得不降级离心机的运行压力。
但是较小的工作压力意味着较少的产出,因而效率较低。
虽然低效,但对于伊朗来说有一个显而易见的优点,伊朗可以大规模的制造生产。
震网病毒的背景
震网病毒的背景世界上每天都有新病毒产生,大部分都是青少年的恶作剧,少部分则是犯罪分子用来盗取个人信息的工具,震网病毒也许只是其中之一,它的背景是什么样的呢!下面由店铺给你做出详细的震网病毒背景介绍!希望对你有帮助!震网病毒背景介绍:首先,它利用了4个Windows零日漏洞。
零日漏洞是指软件中刚刚被发现、还没有被公开或者没有被修补的漏洞。
零日漏洞可以大大提高电脑入侵的成功率,具有巨大的经济价值,在黑市上,一个零日漏洞通常可以卖到几十万美元。
即使是犯罪集团的职业黑客,也不会奢侈到在一个病毒中同时用上4个零日漏洞。
仅此一点,就可以看出该病毒的开发者不是一般黑客,它具备强大的经济实力。
并且,开发者对于攻击目标怀有志在必得的决心,因此才会同时用上多个零日漏洞,确保一击得手。
其次,它具备超强的USB传播能力。
传统病毒主要是通过网络传播,而震网病毒大大增强了通过USB接口传播的能力,它会自动感染任何接入的U盘。
在病毒开发者眼中,似乎病毒的传播环境不是真正的互联网,而是一个网络连接受到限制的地方,因此需要靠USB口来扩充传播途径。
最奇怪的是,病毒中居然还含有两个针对西门子工控软件漏洞的攻击,这在当时的病毒中是绝无仅有的。
从互联网的角度来看,工业控制是一种恐龙式的技术,古老的通信方式、隔绝的网络连接、庞大的系统规模、缓慢的技术变革,这些都让工控系统看上去跟互联网截然不同。
此前从没人想过,在互联网上泛滥的病毒,也可以应用到工业系统中去。
5深度分析编辑第一章事件背景2010年10月,国内外多家媒体相继报道了Stuxnet蠕虫对西门子公司的数据采集与监控系统SIMATIC WinCC进行攻击的事件,称其为“超级病毒”、“超级工厂病毒”,并形容成“超级武器”、“潘多拉的魔盒”。
Stuxnet蠕虫(俗称“震网”、“双子”)在2003年7月开始爆发。
它利用了微软操作系统中至少4个漏洞,其中有3个全新的零日漏洞;伪造驱动程序的数字签名;通过一套完整的入侵和传播流程,突破工业专用局域网的物理限制;利用WinCC系统的2个漏洞,对其开展破坏性攻击。
震网病毒的秘密
深度:震网病毒的秘密引子:看到litdg翻译的《震网的秘密兄弟(一)》,感觉有些地方跟我想象的不一样,所以在litdg兄的基础上就行了更新,我是搞工业自动化的,恰巧阴差阳错的跟信息安全有了些交集,所以以ICS(工业控制系统)的视角,来阐述我对原文的理解。
真正用来破坏伊朗核设施的震网病毒,其复杂程度超出了所有人的预料。
作为第一个被发现的网络攻击武器,震网病毒在被发现后三年来仍然困扰着军事战略家、信息安全专家、政治决策者和广大公众。
围绕震网病毒的分析主要有:(1)它是如何攻击位于Natanz的伊朗核设施的?(2)它是如何隐藏自己的?(3)它是如何违背开发者的期望并扩散到Natanz之外的?但是这些分析的主要内容要么是错误的要么是不完整的。
因为,震网病毒并不是一个而是一对。
大家的注意力全都关注着震网病毒的“简单功能”,即该功能用来改变铀浓缩的离心机转速,而另外一个被忽视的功能是却是更加的复杂和隐秘的。
这一“复杂功能”对于了解ICS (IndustrialControl System的简称)信息安全的人来说简直是梦魇,奇怪的是“复杂功能”竟然先于“简单功能”出现。
“简单功能”在几年后才出现,不久即被发现。
随着伊朗的核计划成为世界舆论的中心,这有利于我们更清晰的了解通过程序来尝试破坏其核计划。
震网病毒对于伊朗核计划的真实影响并不确定,因为到底有多少控制器真正的被感染,并不清楚,没有这方面的消息。
但是不管怎样,通过深入的分析我们可以知道攻击者的意图、以及如何实现意图。
我在过去的三年里对震网病毒进行分析,不但分析其计算机代码,还有被攻击工厂中采用的硬件设备以及核工厂的操作流程。
我的发现如下全景图所示,它包含震网病毒的第一个不为人知的变种(“复杂功能”),这一变种需要我们重新评估其攻击。
事实上这一变种要比公众所认知的网络武器危险的多。
今天,我们已经知道,拥有“复杂功能”的震网病毒包含一个payload,该payload可以严重的干扰位于Natanz的铀浓缩工厂中的离心机保护系统。
什么是震网病毒
什么是震网病毒震网病毒(Stuxnet病毒),是一个席卷全球工业界的病毒,该病毒与2010年6月首次被检测出来,也是第一个专门定向攻击真实世界中基础(能源)设施的“蠕虫”病毒。
下面由店铺给你做出详细的震网病毒介绍!希望对你有帮助!震网病毒介绍如下:该病毒是有史以来最高端的“蠕虫”病毒。
蠕虫病毒是一种典型的计算机病毒,它能自我复制,并将副本通过网络传输,任何一台个人电脑只要和染毒电脑相连,就会被感染。
震网病毒作为世界上首个网络“超级破坏性武器”,已经感染了全球超过45000个网络,伊朗遭到的攻击最为严重,60%的个人电脑感染了这种病毒。
录1简要概述2发现历程3事件信息4主要特点5深度分析第一章事件背景第二章样本典型行为分析第三章解决方案与安全建议第四章攻击事件的特点第五章综合评价6展望思考专家称其高端性显示攻击应为国家行为病毒肆虐将影响我国众多企业简要概述编辑震网(Stuxnet),指一种蠕虫病毒。
它的复杂程度远超一般电脑黑客的能力。
这种震网(Stuxnet)病毒于2010年6月首次被检测出来,是第一个专门定向攻击真实世界中基础(能源)设施的“蠕虫”病毒,比如核电站,水坝,国家电网。
互联网安全专家对此表示担心。
“震网”病毒利用了微软视窗操作系统之前未被发现的4个漏洞。
通常意义上的犯罪性黑客会利用这些漏洞盗取银行和信用卡信息来获取非法收入。
而“震网”病毒不像一些恶意软件那样可以赚钱,它需要花钱研制。
这是专家们相信“震网”病毒出自情报部门的一个原因。
据全球最大网络保安公司赛门铁克(Symantec)和微软(Microsoft)公司的研究,近60%的感染发生在伊朗,其次为印尼(约20%)和印度(约10%),阿塞拜疆、美国与巴基斯坦等地亦有小量个案。
由于“震网”感染的重灾区集中在伊朗境内。
美国和以色列因此被怀疑是“震网”的发明人。
这种新病毒采取了多种先进技术,因此具有极强的隐身和破坏力。
只要电脑操作员将被病毒感染的U盘插入USB接口,这种病毒就会在神不知鬼不觉的情况下(不会有任何其他操作要求或者提示出现)取得一些工业用电脑系统的控制权。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
引子:看到litdg翻译的《震网的秘密兄弟(一)》,感觉有些地方跟我想象的不一样,所以在litdg兄的基础上就行了更新,我是搞工业自动化的,恰巧阴差阳错的跟信息安全有了些交集,所以以ICS(工业控制系统)的视角,来阐述我对原文的理解。
真正用来破坏伊朗核设施的震网病毒,其复杂程度超出了所有人的预料。
作为第一个被发现的网络攻击武器,震网病毒在被发现后三年来仍然困扰着军事战略家、信息安全专家、政治决策者和广大公众。
围绕震网病毒的分析主要有:(1)它是如何攻击位于Natanz的伊朗核设施的?(2)它是如何隐藏自己的?(3)它是如何违背开发者的期望并扩散到Natanz之外的?但是这些分析的主要内容要么是错误的要么是不完整的。
因为,震网病毒并不是一个而是一对。
大家的注意力全都关注着震网病毒的“简单功能”,即该功能用来改变铀浓缩的离心机转速,而另外一个被忽视的功能是却是更加的复杂和隐秘的。
这一“复杂功能”对于了解ICS(IndustrialControl System的简称)信息安全的人来说简直是梦魇,奇怪的是“复杂功能”竟然先于“简单功能”出现。
“简单功能”在几年后才出现,不久即被发现。
随着伊朗的核计划成为世界舆论的中心,这有利于我们更清晰的了解通过程序来尝试破坏其核计划。
震网病毒对于伊朗核计划的真实影响并不确定,因为到底有多少控制器真正的被感染,并不清楚,没有这方面的消息。
但是不管怎样,通过深入的分析我们可以知道攻击者的意图、以及如何实现意图。
我在过去的三年里对震网病毒进行分析,不但分析其计算机代码,还有被攻击工厂中采用的硬件设备以及核工厂的操作流程。
我的发现如下全景图所示,它包含震网病毒的第一个不为人知的变种(“复杂功能”),这一变种需要我们重新评估其攻击。
事实上这一变种要比公众所认知的网络武器危险的多。
2007年有人在计算机信息安全网站VirusTotal上提交了一段代码,后来被证实是震网病毒的第一个变种(“复杂功能”),至少是我们已知的第一个。
对于第一个震网病毒变种,在五年后(2012)大家基于震网病毒的第二个变种(“简单功能”)的了解基础上,才意识到这是震网病毒。
如果没有后来的“简单功能”版本,老的震网病毒(“复杂功能”)可能至今沉睡在反病毒研究者的档案中,并且不会被认定为历史上最具攻击性的病毒之一。
今天,我们已经知道,拥有“复杂功能”的震网病毒包含一个payload,该payload可以严重的干扰位于Natanz的铀浓缩工厂中的离心机保护系统。
后来的震网病毒,被大家熟知的那个“简单功能”版,控制离心机的转速,通过提高其转速而起到破坏离心机的效果。
老版本的震网病毒(“复杂功能”)其Payload采用了不同的策略,它用来破坏用于保护离心机的Safe系统。
译者注:工控系统中通常会部署Safe系统,当现场的控制器和执行器出现异常的时候,该Safe系统会运行,紧急停车防止事故发生。
而本文论述的震网病毒“复杂功能”版,将Safe系统也攻陷了。
震网病毒的“简单功能”版在没有“复杂功能”的配合下是不能够损坏离心机的,因为离心机的转速不正常的情况下,Safe系统就会工作,会停止离心机的运转,这样伊朗的技术人员能够迅速的发现震网病毒。
只有Safe系统也被破坏的情况下,震网病毒的“简单功能”才能够随意的控制离心机的转速。
当然伊朗的Safe系统与工业现场的传统意义上的Safe系统有所不同,该Safe系统可以说是辅助系统,因为其离心机质量不过关,必须通过该Safe系统保证整体系统的正常运转。
工业现场中很重要的一点是连续长时间的稳定运行。
Safe系统通常部署在发生异常的条件下,可能导致设备毁坏或生命财产损失的地方。
在Natanz,我们看见一个特殊的安全保护系统,通过它的部署可以使得过时且不可靠的离心机型号“IR-1”持续的运转。
安全保护系统是伊朗核计划的关键组成部分,如果没有它,离心机IR-1几乎无用。
IR-1离心机是伊朗铀浓缩的根基。
它可以追溯到从20世纪60年代末由欧洲设计,70年代初被窃取,并被巴基斯坦的核贩子A.Q.Khan稍稍改进。
全金属设计的IR-1是可以稳定的运行的,前提是其零件的制造具有一定精度,并且关键组件例如高质量频率转换器和恒力矩驱动质量很高。
但是伊朗人并未设法从过时的设计中获取更高的可靠性。
因此他们不得不降级离心机的运行压力在Natanz工厂。
较低的运行压力意味着对转子的机械压力变小,这样离心机转子损坏就会降低,从而减少了由于转子损坏而使得离心机离线的数量。
但是较小的工作压力意味着较少的产出,因而效率较低。
IR-1离心机在最佳情况下,只能达到其最高产能的一半。
这种不可靠和低效率的IR-1型离心机,对于伊朗来说有一个显而易见的有点,伊朗可以大规模的制造生产。
伊朗通过数量来弥补不稳定性和低效率,他们能够接受在运行过程中一定数量的离心机损坏,因为他们制造离心机的速度比离心机损坏的速度要快多了。
但是要想让所有的离心机工作,伊朗需要下一番功夫。
通常,离心处理操作是一个严苛的工业流程,在流程运行过程中,它不可以存在任何的问题,甚至连小型设备的问题也不可以。
伊朗建立了一套级联保护系统(译者:类似于Safe系统),它用来保证离心流程持续进行,即使离心机坏掉。
在离心机层,级联保护系统在每个离心机上安装了三个截止阀。
通过关闭这些阀门,运行出故障的离心机可以从现有的系统上隔离出来。
隔离后的离心机可以停机并被维护工程师替换,而工艺流程仍然正常运行。
上图是2008年,当时的总统艾哈迈迪.内贾德在Natanz的控制室观看SCADA的场景。
面对摄影师的屏幕显示两个离心机已经被隔离,提示存在问题,但这并没有影响整个工艺流程的持续运行。
(红色高亮显示的是有问题的离心机)但是这种隔离阀的解决方案也导致了许多问题。
当基于不可靠的离心机运行时,离心机会经常被关闭,当同组的离心机已经被隔离的情况下,维护工程师可能没有机会替换另一个刚刚毁坏的离心机(译者注:通常工业现场采用冗余,因此伊朗也很可能采用了离心机的冗余策略,即一个坏掉,可以马上切换到另外一个使其工作,问题他们的离心机太脆弱,会出现两个都坏了的情况。
)如果同一个组中的离心机都停机了,运行压力(使用离心机进行铀浓缩过程中非常敏感的参数)将会升高,从而导致各种各样的问题。
伊朗人发现了一个很有创造力的解决方案来处理这一问题,在每一个铀浓缩组里,都安装了一个排气阀门,当同一组中的多个离心机停机被隔离时,随着压力的升高,该排气阀门可以排气并降低压力。
在每一个离心处理组中,压力有传感器检测,如果压力超过限值,排气阀门就会被打开,降低压力。
这一系统可以保证Natanz的离心机运转,但是这也让它陷入了可能被远程网络攻击的泥潭,有时候会让人怀疑涉及这个系统的人是不是头脑混乱。
Nataz的级联保护系统基于西门子的S7-417系列工业控制器,这些控制器用来操控每个离心机上的阀门和压力传感器,共6组164台离心机。
控制器可以被理解成一个嵌入式计算机系统,它直接连接物理设备,例如阀门。
震网病毒被设计用来感染这些控制器,然后以用户难以想象的方式取得控制权,这种情况从来没有在ICS相关的会议上讨论过。
感染了震网病毒的控制器从真实的物理层断开了,合法的控制逻辑变成了震网病毒想让他展现的样子(译者注:就是控制器不在控制具体的物理信号和物理设备,仅仅是对上层应用程序提供一个看上去它还在正常工作的假象而已。
)在攻击序列执行前(大概每个月执行一次),病毒代码能够给操作员展示物理现场正确的数据。
但是攻击执行时,一切都变了。
震网病毒变种的第一步是隐藏其踪迹,采用了来自好莱坞的策略。
震网病毒以21秒为周期,记录级联保护系统的传感器数据,然后在攻击执行时以固定的循环重复着21秒钟的传感器数据。
在控制室,一切看起来都正常(译者注:因为攻击执行时,被感染的控制器重复的向控制室的监控中心发送的是正常的21秒周期传感器数据,所以监控中心完全发现不了。
),既包括操作员也包括报警系统。
然后震网病毒开始其真正的工作,它首先关闭位于前两组和最后两组离心处理的隔离阀。
阻止了受影响的级联系统的气体流出,从而导致其他的离心机压力提升。
压力的增加将导致更多的六氟化铀进入离心机,给转子更高的机械应力。
最终,压力可能会导致气体六氟化铀固化,从而严重损害离心机。
这种攻击一直持续到攻击者认为达到目的为止,根据监控到的离心机的工作状态而定。
如果他们是为了毁灭性的破坏,那么很简单。
在Nataz的案例中,一个控制器控制的气体固化可以轻易损坏上百台离心机。
听起来这个目标非常有价值,但它也会暴露攻击者。
伊朗的工程师在后期的分析中可以轻易的找到事故发生的原因。
这次攻击的实现过程中,攻击者密切监视运行的压力和离心机的状态表明,他们小心翼翼的避免毁灭性的损坏。
增大运行压力的方式看起来更像是为了让转子寿命更短一些。
不管怎样,攻击者非常谨慎的实施了这次攻击。
攻击的代码设计如此精细,因为细小的改变或者配置错误都可能带来很大的影响,甚至导致程序崩溃,一旦崩溃,就会被伊朗的工程师发现从而暴露行踪。
这次过压的攻击结果也是未知的。
不管是什么,在2009年的时候,攻击者决定尝试一些新的东西。
新的震网病毒变种(译者注:“简单功能”版),与原始版完全不一样(译者注:“复杂功能”),与震网病毒原始版相比,它更简单且缺少隐蔽性。
震网病毒的“简单功能”版用来攻击Natanz工厂中的离心机的驱动系统,该驱动系统用来控制转子的转速。
(译者注:可以参照前文中的第二张图,“复杂功能”版用来攻击给离心机降压的保护系统,“简单功能”版用来直接攻击离心机的电机驱动系统)与“复杂功能”版相比,震网病毒的“简单功能”版其传播方式也不同,这一病毒程序的早期版本必须安装在目标机上,最有可能是通过工程师站(译者注:几乎所有的自动化厂商的现场设备都会存在工程师站,工厂控制组态和设计均由工程师站来进行,任何自动化厂商的工程师站如果被入侵的话,以脚本小子的技术水平都可能会对工业现场的设备造成极大影响,可以说工程师站就相当于工厂控制系统的root账户)或者通过USB来感染西门子控制器的配置文件。
换句话说,震网病毒的“简单版本”需要攻击者来故意传播。
震网病毒的新版本(译者注:“简单功能”版)可以自我复制,通过网络和USB来扩散到所有的计算机中,这些计算机不仅包含安装了西门子组态软件的PC,其他的也一样感染。
(译者注:西门子控制系统的组态软件主要是WinCC,伊朗采用的就是WinCC,整个工业控制系统的网络中,安装了组态软件的PC通常是叫做工程师站,单纯监控类软件的叫做操作员站,当然还有存储数据的DataServer等等,因此一个工厂中的控制层网络中的PC数量可能在几十台,甚至更多。