[军武讲堂]详解美国对伊朗实施的网络战

2012年3月20日，著名计算机安全厂商Symantec宣布发现了最新的Duqu木马的变种――火焰木马病毒。5月31日，俄罗斯著名的安全公司卡巴斯基实验室发言人维塔利·库柳克认为，近来在中东部分国家传播的火焰木马病毒是迄今结构最复杂的网络侵入工具，它能以多种方式窃取信息。



火焰木马病毒这个名称中 “木马”这个称呼，源于特洛伊战争中的“特洛伊木马”。在那场旷日持久的战争最后，希腊人制造了一个巨大的木马，内装有士兵，之后假装撤退。不知就里的特洛伊人将木马做为战利品放入城中。半夜，木马中藏身的希腊士兵偷偷溜出，打开城门，和悄悄返回的希腊联军里应外合，攻陷了特洛伊。木马程序，属于一类可以进入电脑内部，获得电脑信息或者控制电脑的程序的泛称，属于广义的病毒程序。木马病毒是一种历史悠久的病毒，也曾经造成了巨大的影响和损失。国内的木马，最经典的要数昔日的“冰河”木马。既然木马病毒早已司空见惯，那么，这次的火焰木马病毒又有什么特别之处呢？这要从另外一种病毒，Stuxnet病毒开始说起。



2010年7月，曾经发生了一件让国际安全界为止震惊的时间，即伊朗用于分离浓缩铀的离心机受到了病毒的袭击，遭到了破坏，使得伊朗的核计划受到了严重的影响。而这一事件发生在伊朗核危机不断升级的时刻，更是耐人寻味。



这种攻击核设施的病毒被命名为Stuxnet病毒，也被称为震网蠕虫病毒、超级工作蠕虫病毒。其具有对工业控制系统的破坏能力，主要用在工厂中的西门子自动化生产与控制（SCADA）系统，被看作是第一个以现实世界中的关键工业基础设施为目标的计算机蠕虫病毒。有媒体形容其为“潘多拉的魔盒”，因为它开启了真正意义上的网络战，也为以后的网络攻击形式和恐怖主义行为树立了“榜样”。



Stuxnet病毒利用了微软公司的4个windows操作系统漏洞（其中3个是当时全新的零日漏洞），2个西门子公司的SIMATIC Wincc系统漏洞和2个有效的数字证书，通过一套完整的入侵和传播流程，突破工业专用局域网的物理限制，攻击用于数据采集与监控的工业控制系统。伊朗政府已经确认该国的布什尔核电站遭到Stuxnet病毒的攻击。



Stuxnet病毒的主要特点包括同时使用了多个零日漏洞，模块结构复杂，传播途径复杂而漫长和主要用于攻击伊朗的核设施。这四个主要特点与一般的病毒的特点相比，显示出了一些诡异之处。从采用系统漏洞来说，通常病毒的感染都会借助操作系统的漏洞，但是一般病毒都会抱着“搂草打兔子”的心态，能感染上就感染上，不会采用借助多个系统漏洞的传播方式以达到强行传染的目的。例如昔日造成巨大影响的冲击波病毒和震荡波病毒，都只采用了微软操作系统的一个RPC漏洞而已。但是Stuxnet病毒却同时借助了多个系统漏洞，显示出了不达目的誓不罢休的韧劲。在病毒程序的结构上，Stuxnet病毒包括了驱动程序，PLC（可编程逻辑控制器）指令以及命令与控制服务器通信模块等。一般而言，早期病毒多是黑客因为对技术的狂热而编写，不会太过于复杂，现在病毒多是有产业链在背后支撑，也没有必要做得过于复杂而付出较多的开发代价和时间代价，Stuxnet病毒的编写者则反其道而行之。复杂而漫长的传播过程，也有悖于常规病毒的传播模式。至于攻击伊朗的核设施，这个则是Stuxnet病毒最大的特色。据介绍，Stuxnet病毒在感染了伊朗的IR-1型离心机后，会将正常运行速度从1064Hz增加到1410Hz，并在15分钟后回到正常频率，从而造成离心机的损坏。伊朗核计划当局认为Stuxnet病毒破坏了约1000台离心机，并对伊朗核计划造成了阻碍。而Stuxnet病毒虽然蔓延到了世界各国，但是伊朗却是大多数Stuxnet病毒攻击的目标。根据Symantec初步研究，近60%的感染发生在伊朗，伊朗大约3万个互联网终端以及布什尔核电站员工个人电脑在去年遭 Stuxnet 蠕虫病毒感染，其次为印尼（约20％）和印度（约10％）， 阿塞拜疆、美国与巴基斯坦等地亦有小量个案。

[img][/img]

从Stuxnet病毒的表现来看，从病毒本身到其行为，已经超出了一般的病毒的行为了。显然，其背后，有着复杂的背景。



2011年10月，又一个名为Duqu的木马病毒被发现。Duqu木马病毒主要作用是采集和回传数据，看似平常，但是由于采用的技术手段和Stuxnet病毒相似，引起了世界上多个安全厂商的关注，并对其和Stuxnet病毒的关系进行了分析。



Stuxnet病毒和Duqu木马在模块结构上比较相似，都是由经过了数字签名的驱动模块、dll模块和配置文件组成，dll模块和配置文件均以加密方式存储在磁盘上，在需要时解密到内存中，都采用了数字签名这一病毒较为少用的做法。Stuxnet病毒和Duqu木马的主dll都采用了U***压缩壳，并采用微软公司的Visual C++软件编译。在注入方式上，Stuxnet病毒和Duqu木马都采用了dll注入方式来隐藏自身模块，并且都同时采用了驱动层注入和用户层注入两种方式。虽然两者采用了不同版本的编译器，并且在代码中存在少量差别，注册表和主dll文件的解密算法也有不同，但两者的驱动层注入代码逻辑总体上是一致的。两者还使用了相同的rpc绑定方式以借助RPC服务完成点对点通讯。在配置文件上，Stuxnet病毒和Duqu木马都采用了配置与功能分开的事先方式，且二者的配置文件结构非常相似。两者均由驱动从注册表中读取数据，然后实施dll注入，这两者的注册表的数据结构几乎相同。此外，Stuxnet病毒解密注册表数据和主dll模块的密钥也与Duqu木马的密钥相同。



在两者的驱动程序中，都有是否需要检测系统状态的判断，而且判断过程是相同的：从加密配置数据中读取参数，判断是否需要检测系统安全模式，并判断是否需要检测系统调试模式。这两处判断的目的是企图避免被病毒分析工程师跟踪、调试。更能说明问题的是，Duqu木马和Stuxnet病毒在处理注册表数据代码中存在同样的缓冲区溢出漏洞，并且在判断Windows XP版本时犯同样的低级错误。



这种种相似之处，尤其是相同功能的相同技术实现方式，说明了Stuxnet病毒和Duqu木马极有可能是同一个人或者团队所为，或者存在代码同源的情况。不过虽然Stuxnet病毒首先被发现，其后才发现Duqu木马，但是，Duqu木马却极有可能是先于Stuxnet病毒存在。因为Duqu木马的目的正在于搜集数据，一般而言，如果要用病毒对伊朗核设施进行攻击的话，也是首先需要利用木马手机详细数据，再利用病毒实施精确攻击。卡巴斯基实验室的报告中提出Duqu木马可能早在2007-2008年之间就已出现。而另外一个先后顺序的证据在于，Stuxnet病毒是利用微软的Visual C++7.0编译，而Duqu木马是利用Visual C++6.0编译的。编译Duqu木马的编译器版本比Stuxnet病毒的版本更早。



今年3月，多个安全厂商发现了一个新的木马病毒，被称为火焰木马。火焰木马全名为“Worm．Win32．Flame”，被视为Duqu木马的变体，感染范围主要是中东地区。火焰木马由一个20M大小的模块报组成，共包含20个模块，且每个模块有着不同的作用。火焰木马的体积十分庞大，且结构极为复杂，被称为有史以来最复杂的病毒，而且很难追踪其感染途径。



外界分析认为，该病毒已经非常谨慎地运作了至少2年时间，不仅能窃取文件，还能对用户电脑截屏，通过USB驱动传播，禁用安全厂商的安全产品，还能利用微软的windows系统漏洞进行传播。安全厂商Mcafee认为此威胁是Stuxnet病毒和Duqu木马攻击的继续；卡巴斯基实验室认为，火焰木马的攻击可以说是目前发现的最为复杂的攻击之一，它是一种后门木马并具有蠕虫的特征。赛门铁克认为，火焰木马与之前两种威胁Stuxnet病毒和Duqu木马一样，其代码非一人所为，而是由一个有组织、有资金支持并有明确方向性的网络犯罪团体所编写。



火焰木马感染了系统启动之后，会先对被感染系统进行勘察，如果不是其想要的攻击对象，它将会自动从被感染系统卸载掉。一旦电脑系统被感染，病毒将开始一系列复杂的行动，包括监测网络流量、获取截屏画面、记录音频对话、截获键盘输入等。被感染系统中所有的数据都能通过链接传到病毒指定的服务器，让操控者一目了然。据卡巴斯基实验室统计，迄今发现感染该病毒的案例已有500多起，其中主要发生在伊朗、以色列和巴勒斯坦。苏丹、叙利亚、黎巴嫩、沙特阿拉伯和埃及等国也有个别案例。病毒入侵的起始点目前尚不清楚。病毒主模块目前已经发现有多个衍生版本，运行后还会连接C&C服务器，并试图下载或更新其它模块。功能模块具有获取进程信息、键盘信息、硬件信息、屏幕信息、麦克风、存储设备、网络、WIFI、蓝牙、USB等多种信息的功能。病毒最有可能是通过一个USB接入设备或是其他可移动存储介质引入的。除了具备普通电脑病毒的数据窃取手段之外，火焰木马还能记录来自电脑内置话筒的音频数据，并启动被感染电脑的蓝牙设备，使它成为攻击周边蓝牙设备的起始点。



从Stuxnet病毒、Duqu木马到火焰木马，我们可以看出来，这几个病毒一脉相承，有着同一个来源或者说是由同一个组织进行开发的。就病毒开发行业而言，这些病毒有着复杂的功能和模块，开发需要动用大量的资源，花费许多时间、金钱和人力，这显然这不是由单个黑客自行开发的，而是有组织的行为。而从这种病毒的表现来看，主要是针对特定目标，先用数年时间收集数据再实施攻击，还会自我卸载以避免追查，这样的病毒，既不像早期黑客为了炫耀技术开发的病毒，也不像现在背后有着明确产业链支撑的盗号木马病毒。这是一个花费不菲，耗费数年时间，有明确目的性，却不能直接获得利益的病毒系列。很显然，这背后有着普通病毒截然不同的背景。



众所周知，网络是信息传递和交换的媒介，可是同时也是病毒和黑客入侵的康庄大道。因此，各国重要系统，为了安全起见，安全措施一般包括了进行物理隔离，即内部系统之间只通过内部局域网相连接，而这个内部局域网和互联网之间，不会有连接。这个连接，并不是通过某种设备或者软件限制接入，因为没有哪种设备或者软件是能够绝对防御住渗透的。所谓的物理隔离，是这个局域网和互联网之间，根本就不会有网络设备和网线相连，完全是独立的一套网络。因此，这样就能在理论上避免黑客和病毒的攻击和渗透。在这种情况下，病毒是如何入侵伊朗的系统就值得深究了。



从Stuxnet病毒、Duqu木马到火焰木马，主要是通过U盘和局域网进行传播，由于安装SIMATIC WinCC系统的电脑一般会与互联网物理隔绝，因此黑客特意强化了病毒的U盘传播能力。如果企业没有针对U盘等可移动设备进行严格管理，导致有人在局域网内使用了带毒U盘，则整个网络都会被感染。换句话说，如果某国出现了极少的这一系列病毒，还可以解释为偶尔有人使用的U盘带入了病毒。那么，对于伊朗的大面积爆发，很可能就是有专人携带带毒优盘到伊朗相关系统中刻意传播的结果。这种传播方式，已经充分说明了不是一个简单的病毒系列，已经是一种由某些势力实施，针对伊朗的网络攻击手段了，而目标，正是伊朗的核计划。



2012年6月1日，美国的《纽约时报》报道了奥巴马政府对伊朗核设施发动网络袭击的细节。根据这份报道，早在小布什当政时期的2006年美国便已启动了代号为“奥运会”的对伊网络攻击行动。美方先在伊朗纳坦兹核设施的电脑系统中埋下病毒，窃取相关信息，试图夺取该系统的控制权。随后，美国与以色列方面联合编写了一种复杂的蠕虫病毒，并利用2003年利比亚宣布放弃核计划后美方获取的利比亚离心机，在以色列内盖夫沙漠迪莫纳核基地展开一系列测试，证实这种病毒可以发出指令，突然改变高速运转的离心机运转速度，达到破坏离心机的目的，同时向中控系统发出错误信息，让控制人员无法察觉离心机的异常。最后，美方与以色列利用间谍手段，将病毒送入与互联网物理隔绝的纳坦兹核设施电脑系统。2008年，病毒攻击开始奏效，伊朗核计划被显著拖延。而在奥巴马上任之后，下达密令，升级对伊朗的网络攻击以破坏伊朗核计划进程。据白宫评估，这些攻击将把伊朗核计划进程拖延18个月到两年。但美方在2010年因操作失误，将原本用于攻击伊朗中部的纳坦兹核设施的Stuxnet蠕虫病毒释放到互联网上，给全球互联网用户带来危害。美方官员说，刚被发现侵入中东国家电脑系统的火焰木马病毒并不是新发明，但他们拒绝证实这一病毒攻击是否为美方发动。



自从Stuxnet病毒被发现以来，外界对这一系列出现的迷雾中的病毒就一直有种种猜测。而《纽约时报》的报道，则证实了这一猜测。之前以色列新闻网站也曾引述以色列前内阁成员称，牵制伊朗核计划的唯一可行方法，就是利用计算机恶意软件发动网络攻击。伊朗也曾经指认美国和以色列发动网络攻击。看来，在目前美以由于种种制约因素难以直接打击伊朗核计划的情况下，利用国家力量，开发了病毒武器，针对伊朗的核计划进行了病毒战，并成功对伊朗的核计划造成了极大的影响。只是以后伊朗势必会加强网络防护和安全管理，那么，这种手段后续是否还能奏效值得观察。颇为讽刺的是，美国整天指责中国对其实施了网络战，可是从来却没能提供出实质性的证据。在美国人的指鹿为马下，中国的蓝翔技校都变成了解放军的网络战人员的培训学校。可是，这一次，《纽约时报》的报道却实实在在暴露出了美国贼喊捉贼的手法，给了美国一记响亮的耳光。