原創(chuàng)：明昊觀察

連載1：美國超級病毒破壞伊朗核工廠 效果比全炸毀還好

2009年的短時(shí)間內(nèi)，震網(wǎng)病毒就感染了伊朗國內(nèi)外的10多萬臺計(jì)算機(jī)。國際原子能機(jī)構(gòu)（IAEA）的監(jiān)測表明，伊朗位于納坦茲的鈾濃縮工廠出現(xiàn)了大面積的離心機(jī)損壞，產(chǎn)量直線下降。震網(wǎng)病毒是怎么對工廠進(jìn)行破壞的？又是怎樣被外界發(fā)現(xiàn)的？我們接著說。

偽裝和破壞：你從未見過如此精巧的病毒

前面說過，震網(wǎng)病毒的目標(biāo)是西門子的SIMATIC Step 7和SIMATIC WINCC兩個(gè)軟件。Step 7是用來為其S7系列PLC編寫、編譯指令和代碼用的工具軟件。而且必須配合Simatic WinCC軟件使用。Simatic WinCC是一種可視化工具，PLC會(huì)向其發(fā)送自身運(yùn)行及數(shù)據(jù)的報(bào)告。工程師可以通過Simatic WinCC來監(jiān)視其所控制的PLC運(yùn)行狀況。

在震網(wǎng)病毒打包的大量dll文件中，具有和Step 7軟件中同名dll文件的全部功能，并增加了一些讀取和寫入的指令。當(dāng)系統(tǒng)對目標(biāo)PLC執(zhí)行這種操作的時(shí)候，就對其進(jìn)行劫持。這意味著震網(wǎng)病毒成了“史上第一個(gè)”針對工業(yè)控制系統(tǒng)的后門。震網(wǎng)病毒將原本的s7otbxdx.dll文件改名為s7otbxsx.dll，然后把假冒的s7otbxdx.dll文件放進(jìn)去。這樣，當(dāng)系統(tǒng)調(diào)用這個(gè)文件執(zhí)行任務(wù)的時(shí)候，病毒文件就生效了。

震網(wǎng)病毒震網(wǎng)病毒針對S7-315型PLC的代碼有15段。在攻擊之前，會(huì)確認(rèn)PLC系統(tǒng)所控制的是芬蘭產(chǎn)的某型變頻器或者它的伊朗山寨版。這種變頻器的工作頻率在807hz至1210hz之間，屬于美國核管委限制出口的產(chǎn)品。震網(wǎng)病毒要找的目標(biāo)就是一個(gè)安裝有186個(gè)這種變頻器的工廠。

一臺S7-315控制6X31共計(jì)186個(gè)變頻器的控制機(jī)構(gòu)

每當(dāng)操縱員向PLC發(fā)送指令時(shí)，震網(wǎng)病毒都會(huì)把自己的惡意指令跟著一起發(fā)送出去。震網(wǎng)病毒并不會(huì)替換命令代碼，而是在正常的代碼前面增加一段。為確保惡意指令的執(zhí)行，病毒還PLC上嵌入代碼廢掉了PLC的自動(dòng)報(bào)警系統(tǒng)，防止安全系統(tǒng)發(fā)現(xiàn)離心機(jī)轉(zhuǎn)速異常時(shí)將其離心機(jī)關(guān)機(jī)停車。同時(shí)病毒為防被發(fā)現(xiàn)，會(huì)在工程師檢查PLC代碼時(shí)反饋給他們“清潔版”的代碼。如果工程師重新發(fā)送指令，病毒就會(huì)重新對指令代碼進(jìn)行感染。

為了進(jìn)行偽裝，震網(wǎng)病毒會(huì)在PLC上潛伏并記錄下正常的運(yùn)行數(shù)據(jù)。當(dāng)惡意代碼開始運(yùn)行之后，就將之前記錄的正常數(shù)據(jù)發(fā)送給負(fù)責(zé)監(jiān)控的Simatic WinCC。所以當(dāng)值班工程師檢查運(yùn)行情況的時(shí)候，他們看到的是“運(yùn)行正常”。于是，破壞行動(dòng)就這樣開始了。

在13天的潛伏后，震網(wǎng)病毒通過變頻器把離心機(jī)的旋轉(zhuǎn)頻率提升至1410赫茲，并持續(xù)15分鐘；然后降低至正常范圍內(nèi)的1064赫茲，持續(xù)26天。在這26天當(dāng)中，震網(wǎng)會(huì)將所需信息全部收集完畢。之后它會(huì)讓頻率在2赫茲的水平上持續(xù)50分鐘，然后再恢復(fù)到1064赫茲。再過26天，攻擊會(huì)再重復(fù)一遍。

而針對S7-417型PLC的攻擊代碼很奇怪，共有40段，他的目標(biāo)系統(tǒng)是一個(gè)由每組164臺，共6組合計(jì)984臺離心機(jī)組成的運(yùn)行網(wǎng)絡(luò)，并破壞其中的110臺離心機(jī)。納坦茲的每臺離心機(jī)上有3個(gè)控制氣體出入的閥門，還有其他的聯(lián)機(jī)機(jī)組的輔助閥門。如果按照震網(wǎng)病毒的控制模式來開關(guān)閥門，這些離心機(jī)也將損壞。

然而這段攻擊代碼上有一個(gè)故意留下的錯(cuò)誤導(dǎo)致其無法執(zhí)行。或許其他未知版本的震網(wǎng)病毒會(huì)通過升級來將攻擊動(dòng)作重新激活。

這樣一來，伊朗人將陷入莫名其妙的工廠事故中去，當(dāng)他們檢查設(shè)備的時(shí)候又只能發(fā)現(xiàn)他們運(yùn)轉(zhuǎn)正常。 那么，隱匿如此之深的震網(wǎng)病毒是如何被發(fā)現(xiàn)的呢？

國際馬拉松：病毒的發(fā)現(xiàn)和破解

根據(jù)國際原子能機(jī)構(gòu)（IAEA）的核查報(bào)告，2009年11月，納坦茲大概有8700臺離心機(jī)，根據(jù)正常的10%損壞率，一年大約只需要替換800臺。但I(xiàn)AEA的官員發(fā)現(xiàn)，在2009年12月到2010年1月短短兩個(gè)月內(nèi)，離心機(jī)的替換率高得不正常，大約有2000臺離心機(jī)被替換。而鈾濃縮的產(chǎn)量也同時(shí)驟減。某車間的18個(gè)機(jī)組中甚至有11個(gè)出現(xiàn)了故障。

病毒的傳播和破壞

2010年6月，白俄羅斯的一家小殺毒軟件公司Ada的伊朗客戶出現(xiàn)了電腦反復(fù)重啟的毛病，因此他們對客戶電腦進(jìn)行了掃描，并發(fā)現(xiàn)了可疑的驅(qū)動(dòng)程序文件（盜用了臺灣瑞昱公司的數(shù)字簽名）。這個(gè)驅(qū)動(dòng)正是用于隱藏那些在u盤中的lnk文件的。

這個(gè)病毒在中東大量發(fā)現(xiàn)并快速傳播，于是他們將這個(gè)發(fā)現(xiàn)公布在國際安全論壇上。微軟開始針對這兩個(gè)漏洞制作補(bǔ)丁。

7月17日，捷克的ESET安全公司則發(fā)現(xiàn)了另個(gè)一帶合法數(shù)字簽名（臺灣智微）的惡意驅(qū)動(dòng)，它和震網(wǎng)病毒所用的非常相似。這讓人們懷疑是制作者對病毒進(jìn)行了升級，他們要搶在病毒被破解前不惜代價(jià)進(jìn)行擴(kuò)散并生效。

根據(jù)病毒文件內(nèi)的感染標(biāo)記，震網(wǎng)病毒從2009年6月就出現(xiàn)了，病毒的一個(gè)編程錯(cuò)誤使其擴(kuò)散到了Windows 95和98等不支持的操作系統(tǒng)上，導(dǎo)致電腦頻繁藍(lán)屏死機(jī)，從而引起了懷疑被Ada公司揪了出來。

賽門鐵克公司

著名殺軟公司賽門鐵克的病毒分析師開始接力對震網(wǎng)病毒進(jìn)行分析。他們破解了震網(wǎng)病毒在計(jì)算機(jī)上隱匿自己的復(fù)雜方法，并為其精巧的設(shè)計(jì)感到震驚。在震網(wǎng)病毒的代碼中，他們發(fā)現(xiàn)了SIMATIC Step 7和SIMATIC WINCC軟件的說明文字。這讓他們大致明白震網(wǎng)病毒并不是常見的電腦病毒，而是攻擊生產(chǎn)設(shè)施用的特種病毒。

震網(wǎng)病毒在傳播的過程中，會(huì)記錄下它感染的每一臺計(jì)算機(jī)的ip地址、域名和感染事件，并將其發(fā)送給特定的服務(wù)器。賽門鐵克攔截了這些日志的流向，將它們導(dǎo)向自己的“槽洞”并加以分析。他們發(fā)現(xiàn)病毒的主要感染對象都在伊朗境內(nèi)，多達(dá)2萬臺，其他國家最多也就幾百臺感染。而其傳播的源頭則是伊朗的5家公司。其中一家Kala公司正是為鈾濃縮項(xiàng)目打幌子的卡拉揚(yáng)電力公司。

8月17日，賽門鐵克公開了他們的研究結(jié)果：震網(wǎng)并不是什么間諜工具，而是專門用來實(shí)施物理破壞的數(shù)字武器。但是他們很謹(jǐn)慎，沒有發(fā)布進(jìn)一步的聲明，沒說震網(wǎng)病毒到底對PLC做了些什么。

消息發(fā)布5天之后，并沒有在媒體上引起任何波瀾。然而震網(wǎng)病毒發(fā)往槽流的流量突然消失。看來，一定是伊朗內(nèi)部有人看到了他們發(fā)布的消息。為了防止攻擊者或其他人繼續(xù)通過遠(yuǎn)程方式感染計(jì)算機(jī)并造成損害，伊朗方面終于下令，切斷了國內(nèi)所有染毒計(jì)算機(jī)與指揮控制服務(wù)器之間的連接。

美國國土安全部可不光干那些監(jiān)視的活兒

然而，與此高度相關(guān)的西門子公司、德國國家計(jì)算機(jī)應(yīng)急響應(yīng)團(tuán)隊(duì)和美國國土安全部的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)團(tuán)隊(duì)（ICS-CERT）保持了沉默。

這讓民間研究者非常憤怒，德國一個(gè)研究工業(yè)控制系統(tǒng)安全的3人小公司覺得賽門鐵克專注于PC病毒，對于PLC并不熟悉所以沒有得出進(jìn)一步的結(jié)果。而他們的大客戶正好是西門子公司，于是他們主動(dòng)開始繼續(xù)研究震網(wǎng)病毒。他們確定了震網(wǎng)病毒的攻擊目標(biāo)：西門子生產(chǎn)的兩個(gè)型號的PLC。因?yàn)椴《镜膼阂馀渲们鍐畏浅＊?dú)特，所以只會(huì)感染與其配置相同的PLC，也就是某個(gè)特定使用相同配置的生產(chǎn)工廠。而他們從自己的消息渠道了解到布什爾核電廠所采用的PLC型號正是S7-417。他們將這些發(fā)現(xiàn)公開給多家頂級媒體，然而并沒有人回應(yīng)他們。

賽門鐵克的病毒專家被震網(wǎng)病毒的“載荷”難住了。因?yàn)镻LC的使用的編程語言和計(jì)算機(jī)上的C語言完全不同，是一種使用STL語言編碼編譯的PL7匯編語言，然后再匯編成PLC可以執(zhí)行的機(jī)器語言。經(jīng)過費(fèi)事的反編譯，他們發(fā)現(xiàn)震網(wǎng)病毒注入PLC幾千字節(jié)的代碼瞬間膨脹為針對S7-315的4000行指令和針對S7-417的13000行指令。太復(fù)雜了！

賽門鐵克在2010年11月12日公布了震網(wǎng)病毒針對S7-315型PLC的攻擊方式。指出其目標(biāo)僅限于特定型號的變頻器，攻擊范圍非常有限。4天后，伊朗全面暫停了鈾濃縮活動(dòng)但并沒有說明原因。當(dāng)然，這其中的因果大家都看得非常清楚了。而此后的幾天，伊朗的兩名核專家同時(shí)遭遇謀殺，一死一傷。（中子運(yùn)輸專家馬吉德·沙利亞里死亡，同位素分離專家法雷多·艾巴西輕傷）

這兩起謀殺給民間病毒研究人員帶來了極大的震撼。他們對于病毒制作者的模糊認(rèn)識迅速清醒過來，他們已經(jīng)陷入了巨大的危機(jī)：國家之間的較量不是民間力量能隨意插手的。

研究核擴(kuò)散問題的頂尖智庫科學(xué)與國際安全研究所（ISIS）也對這個(gè)病毒感興趣。他們聯(lián)絡(luò)了賽門鐵克的研究人員并詳細(xì)了解了病毒的行為。根據(jù)ISIS所掌握的數(shù)據(jù)，震網(wǎng)病毒中設(shè)置的頻率值1064hz恰好是伊朗IR-1離心機(jī)的最佳工作頻率，而且是IR-1離心機(jī)所獨(dú)有的。1410hz也恰好是IR-1離心機(jī)可承受的轉(zhuǎn)速上限，再快點(diǎn)就會(huì)直接損毀。另一個(gè)針對S7-417型PLC所訂的164臺離心機(jī)規(guī)模設(shè)置，也恰好是伊朗鈾濃縮工廠的機(jī)組構(gòu)成數(shù)量，它的攻擊目標(biāo)就是排氣閥門。

于是，震網(wǎng)病毒的攻擊目標(biāo)，總算是實(shí)錘了！那么，這場史無前例的網(wǎng)絡(luò)大戰(zhàn)中，美國的政府部門到底扮演了什么樣的角色？震網(wǎng)病毒將給我們的社會(huì)帶來怎樣的影響？我們下回繼續(xù)。