深度解讀:震網病毒的秘密
引子:
看到litdg翻譯的《震網的秘密兄弟(一)》,感覺有些地方跟我想象的不一樣,所以在litdg兄的基礎上就行了更新,我是搞工業自動化的,恰巧陰差陽錯的跟信息安全有了些交集,所以以ICS(工業控制系統)的視角,來闡述我對原文的理解。
真正用來破壞伊朗核設施的震網病毒,其復雜程度超出了所有人的預料。
作為第一個被發現的網絡攻擊武器,震網病毒在被發現后三年來仍然困擾著軍事戰略家、信息安全專家、政治決策者和廣大公眾。圍繞震網病毒的分析主要有:
(1)它是如何攻擊位于Natanz的伊朗核設施的?
(2)它是如何隱藏自己的?
(3)它是如何違背開發者的期望并擴散到Natanz之外的?但是這些分析的主要內容要么是錯誤的要么是不完整的。
因為,震網病毒并不是一個而是一對。大家的注意力全都關注著震網病毒的“簡單功能”,即該功能用來改變鈾濃縮的離心機轉速,而另外一個被忽視的功能是卻是更加的復雜和隱秘的。這一“復雜功能”對于了解ICS(IndustrialControl System的簡稱)信息安全的人來說簡直是夢魘,奇怪的是“復雜功能”竟然先于“簡單功能”出現。“簡單功能”在幾年后才出現,不久即被發現。
隨著伊朗的核計劃成為世界輿論的中心,這有利于我們更清晰的了解通過程序來嘗試破壞其核計劃。震網病毒對于伊朗核計劃的真實影響并不確定,因為到底有多少控制器真正的被感染,并不清楚,沒有這方面的消息。但是不管怎樣,通過深入的分析我們可以知道攻擊者的意圖、以及如何實現意圖。我在過去的三年里對震網病毒進行分析,不但分析其計算機代碼,還有被攻擊工廠中采用的硬件設備以及核工廠的操作流程。我的發現如下全景圖所示,它包含震網病毒的第一個不為人知的變種(“復雜功能”),這一變種需要我們重新評估其攻擊。事實上這一變種要比公眾所認知的網絡武器危險的多。
2007年有人在計算機信息安全網站VirusTotal上提交了一段代碼,后來被證實是震網病毒的第一個變種(“復雜功能”),至少是我們已知的第一個。對于第一個震網病毒變種,在五年后(2012)大家基于震網病毒的第二個變種(“簡單功能”)的了解基礎上,才意識到這是震網病毒。如果沒有后來的“簡單功能”版本,老的震網病毒(“復雜功能”)可能至今沉睡在反病毒研究者的檔案中,并且不會被認定為歷史上最具攻擊性的病毒之一。
今天,我們已經知道,擁有“復雜功能”的震網病毒包含一個payload,該payload可以嚴重的干擾位于Natanz的鈾濃縮工廠中的離心機保護系統。
后來的震網病毒,被大家熟知的那個“簡單功能”版,控制離心機的轉速,通過提高其轉速而起到破壞離心機的效果。老版本的震網病毒(“復雜功能”)其Payload采用了不同的策略,它用來破壞用于保護離心機的Safe系統。
譯者注:工控系統中通常會部署Safe系統,當現場的控制器和執行器出現異常的時候,該Safe系統會運行,緊急停車防止事故發生。而本文論述的震網病毒“復雜功能”版,將Safe系統也攻陷了。震網病毒的“簡單功能”版在沒有“復雜功能”的配合下是不能夠損壞離心機的,因為離心機的轉速不正常的情況下,Safe系統就會工作,會停止離心機的運轉,這樣伊朗的技術人員能夠迅速的發現震網病毒。只有Safe系統也被破壞的情況下,震網病毒的“簡單功能”才能夠隨意的控制離心機的轉速。當然伊朗的Safe系統與工業現場的傳統意義上的Safe系統有所不同,該Safe系統可以說是輔助系統,因為其離心機質量不過關,必須通過該Safe系統保證整體系統的正常運轉。工業現場中很重要的一點是連續長時間的穩定運行。
Safe系統通常部署在發生異常的條件下,可能導致設備毀壞或生命財產損失的地方。在Natanz,我們看見一個特殊的安全保護系統,通過它的部署可以使得過時且不可靠的離心機型號“IR-1”持續的運轉。安全保護系統是伊朗核計劃的關鍵組成部分,如果沒有它,離心機IR-1幾乎無用。
IR-1離心機是伊朗鈾濃縮的根基。它可以追溯到從20世紀60年代末由歐洲設計,70年代初被竊取,并被巴基斯坦的核販子A.Q.Khan稍稍改進。全金屬設計的IR-1是可以穩定的運行的,前提是其零件的制造具有一定精度,并且關鍵組件例如高質量頻率轉換器和恒力矩驅動質量很高。但是伊朗人并未設法從過時的設計中獲取更高的可靠性。因此他們不得不降級離心機的運行壓力在Natanz工廠。較低的運行壓力意味著對轉子的機械壓力變小,這樣離心機轉子損壞就會降低,從而減少了由于轉子損壞而使得離心機離線的數量。但是較小的工作壓力意味著較少的產出,因而效率較低。IR-1離心機在最佳情況下,只能達到其最高產能的一半。
這種不可靠和低效率的IR-1型離心機,對于伊朗來說有一個顯而易見的有點,伊朗可以大規模的制造生產。伊朗通過數量來彌補不穩定性和低效率,他們能夠接受在運行過程中一定數量的離心機損壞,因為他們制造離心機的速度比離心機損壞的速度要快多了。但是要想讓所有的離心機工作,伊朗需要下一番功夫。通常,離心處理操作是一個嚴苛的工業流程,在流程運行過程中,它不可以存在任何的問題,甚至連小型設備的問題也不可以。伊朗建立了一套級聯保護系統(譯者:類似于Safe系統),它用來保證離心流程持續進行,即使離心機壞掉。
在離心機層,級聯保護系統在每個離心機上安裝了三個截止閥。通過關閉這些閥門,運行出故障的離心機可以從現有的系統上隔離出來。隔離后的離心機可以停機并被維護工程師替換,而工藝流程仍然正常運行。
上圖是2008年,當時的總統艾哈邁迪.內賈德在Natanz的控制室觀看SCADA的場景。面對攝影師的屏幕顯示兩個離心機已經被隔離,提示存在問題,但這并沒有影響整個工藝流程的持續運行。(紅色高亮顯示的是有問題的離心機)
但是這種隔離閥的解決方案也導致了許多問題。當基于不可靠的離心機運行時,離心機會經常被關閉,當同組的離心機已經被隔離的情況下,維護工程師可能沒有機會替換另一個剛剛毀壞的離心機(譯者注:通常工業現場采用冗余,因此伊朗也很可能采用了離心機的冗余策略,即一個壞掉,可以馬上切換到另外一個使其工作,問題他們的離心機太脆弱,會出現兩個都壞了的情況。)如果同一個組中的離心機都停機了,運行壓力(使用離心機進行鈾濃縮過程中非常敏感的參數)將會升高,從而導致各種各樣的問題。
伊朗人發現了一個很有創造力的解決方案來處理這一問題,在每一個鈾濃縮組里,都安裝了一個排氣閥門,當同一組中的多個離心機停機被隔離時,隨著壓力的升高,該排氣閥門可以排氣并降低壓力。在每一個離心處理組中,壓力有傳感器檢測,如果壓力超過限值,排氣閥門就會被打開,降低壓力。
這一系統可以保證Natanz的離心機運轉,但是這也讓它陷入了可能被遠程網絡攻擊的泥潭,有時候會讓人懷疑涉及這個系統的人是不是頭腦混亂。
Nataz的級聯保護系統基于西門子的S7-417系列工業控制器,這些控制器用來操控每個離心機上的閥門和壓力傳感器,共6組164臺離心機。控制器可以被理解成一個嵌入式計算機系統,它直接連接物理設備,例如閥門。震網病毒被設計用來感染這些控制器,然后以用戶難以想象的方式取得控制權,這種情況從來沒有在ICS相關的會議上討論過。
感染了震網病毒的控制器從真實的物理層斷開了,合法的控制邏輯變成了震網病毒想讓他展現的樣子(譯者注:就是控制器不在控制具體的物理信號和物理設備,僅僅是對上層應用程序提供一個看上去它還在正常工作的假象而已。)在攻擊序列執行前(大概每個月執行一次),病毒代碼能夠給操作員展示物理現場正確的數據。但是攻擊執行時,一切都變了。
震網病毒變種的第一步是隱藏其蹤跡,采用了來自好萊塢的策略。震網病毒以21秒為周期,記錄級聯保護系統的傳感器數據,然后在攻擊執行時以固定的循環重復著21秒鐘的傳感器數據。在控制室,一切看起來都正常(譯者注:因為攻擊執行時,被感染的控制器重復的向控制室的監控中心發送的是正常的21秒周期傳感器數據,所以監控中心完全發現不了。),既包括操作員也包括報警系統。
然后震網病毒開始其真正的工作,它首先關閉位于前兩組和最后兩組離心處理的隔離閥。阻止了受影響的級聯系統的氣體流出,從而導致其他的離心機壓力提升。壓力的增加將導致更多的六氟化鈾進入離心機,給轉子更高的機械應力。最終,壓力可能會導致氣體六氟化鈾固化,從而嚴重損害離心機。
這種攻擊一直持續到攻擊者認為達到目的為止,根據監控到的離心機的工作狀態而定。如果他們是為了毀滅性的破壞,那么很簡單。在Nataz的案例中,一個控制器控制的氣體固化可以輕易損壞上百臺離心機。聽起來這個目標非常有價值,但它也會暴露攻擊者。伊朗的工程師在后期的分析中可以輕易的找到事故發生的原因。這次攻擊的實現過程中,攻擊者密切監視運行的壓力和離心機的狀態表明,他們小心翼翼的避免毀滅性的損壞。增大運行壓力的方式看起來更像是為了讓轉子壽命更短一些。
不管怎樣,攻擊者非常謹慎的實施了這次攻擊。攻擊的代碼設計如此精細,因為細小的改變或者配置錯誤都可能帶來很大的影響,甚至導致程序崩潰,一旦崩潰,就會被伊朗的工程師發現從而暴露行蹤。
這次過壓的攻擊結果也是未知的。不管是什么,在2009年的時候,攻擊者決定嘗試一些新的東西。#p#
新的震網病毒變種(譯者注:“簡單功能”版),與原始版完全不一樣(譯者注:“復雜功能”),與震網病毒原始版相比,它更簡單且缺少隱蔽性。震網病毒的“簡單功能”版用來攻擊Natanz工廠中的離心機的驅動系統,該驅動系統用來控制轉子的轉速。(譯者注:可以參照前文中的第二張圖,“復雜功能”版用來攻擊給離心機降壓的保護系統,“簡單功能”版用來直接攻擊離心機的電機驅動系統)
與“復雜功能”版相比,震網病毒的“簡單功能”版其傳播方式也不同,這一病毒程序的早期版本必須安裝在目標機上,最有可能是通過工程師站(譯者注:幾乎所有的自動化廠商的現場設備都會存在工程師站,工廠控制組態和設計均由工程師站來進行,任何自動化廠商的工程師站如果被入侵的話,以腳本小子的技術水平都可能會對工業現場的設備造成極大影響,可以說工程師站就相當于工廠控制系統的root賬戶)或者通過USB來感染西門子控制器的配置文件。換句話說,震網病毒的“簡單版本”需要攻擊者來故意傳播。
震網病毒的新版本(譯者注:“簡單功能”版)可以自我復制,通過網絡和USB來擴散到所有的計算機中,這些計算機不僅包含安裝了西門子組態軟件的PC,其他的也一樣感染。(譯者注:西門子控制系統的組態軟件主要是WinCC,伊朗采用的就是WinCC,整個工業控制系統的網絡中,安裝了組態軟件的PC通常是叫做工程師站,單純監控類軟件的叫做操作員站,當然還有存儲數據的DataServer等等,因此一個工廠中的控制層網絡中的PC數量可能在幾十臺,甚至更多。震網病毒的感染是將工廠網絡中所有的PC都感染了。)這表明,攻擊者已經不必通過具有訪問權限的人員來直接進行病毒傳播了,也不用直接訪問由其他部門安裝配置的離心機系統(譯者注:因為病毒已經在控制層網絡中擴散開了,現場的設備層離心機是接在了控制層網絡中的,所以此時所有的離心機驅動都能夠訪問控制了。)。
更重要的是,震網病毒使用了之前并未被發現的微軟Windows軟件漏洞即“0day”漏洞,這些“0 day”漏洞在市場上價值數十萬美元。新版本的震網病毒(“簡單功能”版)盜用了數字簽名,從而使得它看上去是一個合法的驅動程序,事實上最新版的Windows操作系統仍然會認為它合法。
這一切都表明,某個新組織開發了震網病毒(“簡單功能”版),該病毒包含了寶貴了0 day漏洞和竊取的數字證書。相比之下,開發震網病毒(“復雜功能”版)用來實現對離心機進行壓力攻擊的團隊是一群頂尖的工控系統安全專家和游離余IT信息安全之外的信息安全程序開發者(譯者注:說白了,這些人就是專門搞工控系統信息安全的,包括程序開發者)。而用于提高離心機速度進行攻擊的震網病毒(“簡單功能”版),則指向了更大的范圍和新的重點。如果震網病毒是美國開發的,根據已經公布的資料可知就是美國人開發的,這只有唯一的理論上的地點:位于馬里蘭州(MaryLand)米德堡(FortMeade)的美國國家安全局總部。
雖然以多個“0 day”為代價,新的震網病毒(“簡單功能”版)與原始的震網病毒(“復雜功能”版)相比,更容易作為惡意程序被識別,因為它突然表現出的奇怪的和精密的行為。(譯者注:肯定的,因為它惡意的調整離心機轉速,工業現場的工程師一下就能發現系統出問題了。)相反,震網病毒的原始版(“復雜功能”版)則表現的更像是一個合法的軟件,運行在位于Natanz工廠中的西門子控制器中,唯一怪異的地方在于它沒有版權聲明和許可條款。(譯者注:工控廠商的軟件,通常都會有版權聲明的,大概說的就是這是哪家公司的軟件,不可以拷貝等等。另外,病毒應該也能夠運行在其他工廠的西門子控制器中。)而新的震網病毒(“簡單功能”版)則包含了黑客們夢寐以求的大量的Exploit,甚至一些很牛的反病毒研究者都覺得它有些地方太強大,需要仔細的研究。
新的震網病毒(“簡單功能”版)與原始版本(“復雜功能”版)相似,也采用了周期性攻擊的策略,大概每個月攻擊一次,但是觸發攻擊的條件要簡單的多。在進行增加壓力攻擊(“復雜功能”版)時,需要檢測過程變量,在某一特殊條件出現下,則觸發攻擊。(譯者注:應該是根據過程變量的數據值,來判斷是否進行攻擊,個人猜測,該功能主要用來提升壓力,程序的邏輯可能是判斷當前運行的壓力信息,當壓力信息達到某一個期望值時,控制泄壓閥關閉,從而使得壓力進一步升高,從而起到攻擊效果,如果系統當前運行的壓力值不是很高的話,則不攻擊,表現正常。),新的震網病毒(“簡單功能”版)則要更直接。
新的攻擊(“簡單功能”版)主要是改變轉子的轉速。利用過程壓力和轉子的轉速兩種方法能夠實現增加轉子的內壁壓力,其中通過增加轉子轉速來實現增加轉子的內壁壓力是比較容易的方法。顯然震網病毒(“簡單功能”版)采用了這一辦法。通常IR-1型離心機的工作轉速為63000轉/分鐘,震網病毒(“簡單功能”版)對其提速了三分之一達到了84600轉/分鐘并運行了15分鐘,接下來讓離心機停下來達到120轉/分鐘(譯者注:近乎停止,大家生活中接觸到的電機通常在幾千轉的樣子),然后再讓他們全速運轉,整個過程持續50分鐘。(譯者注:大家可以想象我們自己開的車,把油門踩到底,然后急剎車,然后再把油門踩到底…每個月這么折騰一次,每次50分鐘的后果。)IR-1型離心機采用了超臨界設計,意味著轉子轉速到達工作速度前已經超過了所謂的臨界速度,每當轉子速度超過這些臨界速度時,會產生諧波,可能毀壞轉子。(譯者注:大學課程《電機拖動》有過這方面的介紹,不過我忘了,大概說的就是電機運轉有一個安全區間,在此一切ok,在此區間外就不妙了。就像葛優說的,步子大了容易扯到蛋,電機速度太快也一樣。),
如果在攻擊時僅僅一個轉子被毀壞,級聯保護系統能夠將毀壞的離心機隔離,并繼續欲行其他的離心機。但是如果多個轉子同時被毀壞(一個相當有可能的情況),伊朗的操作員就悲劇了,他們很詫異,為何如此多的離心機同時壞掉。庫房里雖然有足夠的離心機來更換,但是這讓控制系統工程師無法解釋這一問題而非常令人沮喪,可以把這些離心機看成幽靈機器(譯者注:確實,離心機就像幽靈一樣,統一掛掉。)
攻擊可能被工業現場的員工認識到,通過他們的耳朵。(譯者注:電機速度劇烈變化的時候,能夠通過電機發出的聲音判斷出來。)。讓164臺離心機(或者更多)從63000轉/分鐘降到120轉/分鐘,然后在恢復到63000轉/分鐘,如果富有經驗的員工在現場拿掉他們的保護耳機的話,是能夠注意這一問題的。(譯者注:工業現場噪音很大,特別是離心機這種,現場員工可能確實佩戴保護性的耳機,那樣他們確實聽不到離心機的詭異聲響。)。這從另一個側面說明,震網病毒(“簡單功能”版)的開發者已經接受被現場操作員發現的風險。
關于震網病毒通過破壞大量離心機,從而明顯降低了伊朗鈾濃縮的產能的文章已經有很多。雖然那是毋庸置疑的,但是它并未表現出攻擊者的意圖。如果震網病毒導致了災難性的后果,那么那就是個意外,而不是不是它的初衷。攻擊者可以采取一擊致命的措施,但是他們選擇了持續周期性讓其窒息的方式。震網病毒是一種低效率的武器,旨在降低伊朗的離心機的使用壽命,使得伊朗的控制系統表現的超出了他們的掌控。
此戰略很難被發現,當震網病毒開發出來時,伊朗已經具備了量產IR-1型離心機的能力。在2010年夏天,當震網病毒大量爆發的時候,伊朗運行著4000臺離心機,并且在庫房中保存著另外5000臺作為備用。一次性毀壞伊朗的操作設備并不能夠損害伊朗的核戰略,就像在1981年巴基斯坦發生的大地震,雖然嚴重的破壞了巴基斯坦的4000臺離心機,但是并沒有阻止巴基斯坦最終獲得核武器。據我的估算,震網病毒延緩了伊朗的核項目兩年,假使同時毀掉所有的離心機也不會產生如此大的延期。(譯者注:也就說通過這種病毒手段破壞離心機比通過暴力破壞離心機的性價比還要高)
圖為2008年至2010年Natanz工廠的離心機庫存數據,伊朗始終保存著至少50%的備用離心機,也就是說同時摧毀運行中的離心機基本上不能阻止伊朗的核發展進程。(譯者注:從圖中可以看出在某一階段09年底至10年底,伊朗的備用離心機數量超過了4000臺,比運行中的離心機數量還多,如果一次性將運行中的離心機全部干掉,伊朗仍然有足夠的離心機進行替換。)
低效率的震網病毒攻擊方法提供了額外的附加值,它使得伊朗的工程師抓狂,并且使得他們再也不能有效的運行工廠(該工廠的設計是20世紀70年代竊取設計后,開始運行的)和他們過度的數字保護系統。與巴基斯坦的鈾濃縮計劃相比,人們會注意到一個重要的效率差異,巴基斯坦在其搖搖欲墜的經濟背景下,僅用了短短兩年的時間就完成了從零開始到低濃度的鈾濃縮,并且沒有采用最新的數字控制技術。而伊朗雖然借助了巴基斯坦核販子A.Q. Khan的幫助并通過賣原油而積累了大量的資金,但是為了完成低濃度鈾濃縮花費了超過10年的時間。如果伊朗的工程師不那么無能的話,他們應該在能在震網病毒入侵他們系統之前完成鈾濃縮。(譯者注:不是敵人太狡猾,而是我方太無能。)#p#
相傳在2010年的夏天,當震網病毒破壞了Natanz工廠后,由于控制軟件存在一個bug,在對該軟件進行升級時,震網病毒便由此從核工廠向外界擴散開來。(譯者注:伊朗不可能天真到為了升級控制軟件與而與外界進行聯網升級的,因此它的升級應該是通過售后工程師去現場進行升級的。)雖然那是個美妙的傳說,但不可能是真的。震網病毒僅在局域網中的電腦間傳播,或者是通過USB拷貝文件時傳播。換句話說,震網病毒必須需要黑客來實現大量傳播,通過調制解調器或者VPN進行遠程訪問的這段時間里,黑客可以將震網病毒擴散到整個世界。(譯者注:來自賽門鐵克的震網病毒分析文檔中介紹過,其主要是通過USB漏洞和打印機驅動漏洞實現局域網內的傳播的。因此,震網病毒在因特網上的傳播是有人明確的散播的。)
Natanz工廠的設備供應商,同樣要為其他客戶進行工作。這些人員很可能將他們感染了震網病毒的筆記本電腦帶到了其他客戶那里,并將他們的電腦接入了這些次要客戶的局域網中。例如,他們將震網病毒傳播到了一個水泥廠,而這個水泥廠的其他供應商也將移動PC接入了這個已經被感染的局域網,這樣這些移動PC就可以將病毒傳播的更遠,傳播到另外一個水泥廠或者另一個國家。在這個傳播鏈條上,受感染的設備供應商或者雇員可能通過遠程訪問他們的機器,從而使得病毒傳遍了五大洲。震網病毒以它的方式迅猛的傳遍了世界各地。(并不是因為數以億記的控制系統連接到了因特網,而是其利用了在因特網上的可信網絡隧道。)例如,遠程維護通常會具備在線訪問共享文件夾的權限,從而給了震網病毒一個通過安全數字通道進行傳播的機會。我和我的同事早在2010年幫助那些感染了震網病毒的客戶時就發現,這些客戶所從事的領域與核領域完全不相關。(譯者注:也就是說,震網病毒可能在很多的工業控制系統中存在,只是人家對于非核領域的工業控制系統不感興趣罷了,否則想搞你,很容易。)
鑒于震網病毒將被感染系統的網絡協議地址和主機名發送給了它的CC服務器(Command and Control Server),可以看出攻擊者很顯然希望將病毒擴散到民用系統,并很渴望精準的控制其傳播。通過精準的控制,最終實現將病毒擴散到為Natanz工作的設備供應商,以及這些供應商的客戶,甚至伊朗的秘密核工廠。
震網病毒為未來的攻擊者提供了一個有用的藍本,給出了一條入侵堅固系統的康莊大道。攻擊者并沒有嘗試滲透15層防火墻、3個數據單向保護設備和入侵檢測系統;而是直接通過感染了具備訪問現場權限的軟目標即設備供應商。雖然設備供應商也很重視他們的網絡安全,但是他們必然無法與Natanz工廠的保護措施相比。感染設備供應商的移動設備和U盤被證明足夠好,因為他們早晚會帶著這些設備進入工業現場,并接入到Natanz工廠的核心系統中,很輕松的通過安全檢查。(譯者注:感染病毒的筆記本和USB,通過殺毒軟件在當時根本就查不出來,所以,當時只要接入伊朗的系統中,就必然中招)
任何后來的攻擊者當他們想攻擊堅固系統時,都會考慮這種攻擊方法。在全球范圍內清醒的現實是,幾乎每一個工業或者軍事設施所使用的工業控制系統在一定程度上依賴其供應商網絡,而這些供應商,精于其業務,而疏于網絡安全。雖然工業控制系統信息安全專家已經討論了很多年的內部安全風險,這些圈內人的討論無意間幫助了黑客部署了網絡攻擊武器–震網病毒。
雖然震網病毒是一個國家工程,因為需要大量的資源和相當高的智慧,但是未來面向工業控制系統或者“信息物理系統”(Cyber-physical System)的攻擊可能不再是國家工程。由于攻擊者自我強加的約束條件,即破壞設備的同時還要讓對方認為這僅僅是設備可靠性問題,開發震網病毒付出了很大的代價。我個人估算,超過50%的工作是用來開發震網病毒的隱藏攻擊行為上,投入了大量的資金在“復雜功能”上,使得“復雜功能”一方面在進行增加壓力攻擊的同時還要偽裝成一切工作正常的樣子。這一投入還包括建立IR-1型離心機樣機的全功能級聯保護系統,該系統使用了真正的六氟化鈾。(譯者注:下的本兒夠大的,建一套高仿的IR-1型全套系統成本肯定不小。)從震網病毒上獲取靈感的攻擊者并不需要將如此大的精力花費在行為偽裝上,他們可能希望受害者知道自己正遭受網絡攻擊,并以此來炫耀自己。
與震網病毒的攻擊者不同,這些人(譯者注:指從震網病毒上獲取靈感的攻擊者)可能將目標定位到民用關鍵基礎設施上。這些系統不但更容易被訪問,而且還是標準化的。運行在發電廠或者化工廠的某個系統,可能與下一家工廠的系統配置的十分的相似。(譯者注:確實如此,甚至幾大工控廠商的產品,都有一定的相似度。)事實上,所有新式的工廠,都采用了標準工業控制系統架構,采用的設備都是來自這個行業里的少數幾個供應商,采取的工控系統配置都相似甚至完全一樣。(譯者注:工控系統全套設備的供應商,全球就那么幾家,細分行業后更少。)換句話說,如果你控制了一套工業控制系統,你可以滲透幾十個甚至上百個相同系列的工業控制系統。
縱觀這兩個版本的震網病毒,有一條最終線索(在這場表象的攻擊過程中,幕后隱藏著更為重大的事情)。在這場攻擊的奧運會(Operation Olympic Games,多年的針對伊朗核計劃的在線間諜活動和蓄謀破壞行動)中,顯然包含了比開發和部署病毒程序(雖然病毒程序很精妙)更多的內幕。這不僅僅是一場攻擊,而是一場戰役,而且這場戰役的重點在執行過程中發生了顯著的改變。
當我的同事和我在2010年第一次分析這兩個版本的攻擊,我們最初認為這兩個版本的攻擊是同時進行的,也許其目的是想增加轉子轉速的同時使級聯保護系統失效。這被證明是錯誤的,從過代碼可以發現,這兩個版本的攻擊并未協作。然后我們認為用來攻擊離心機驅動系統的病毒(譯者注:“簡單版本”)是是簡單的并且是先于“復雜版本”出現的。(“復雜版本”用來攻擊級聯保護系統。) 針對級聯保護系統的攻擊表現出了十足的網絡能力(“CyberPower”),表面上看該攻擊是基于“簡單版本”的基礎上開發出來的。幾年后,發現我們想反了,原來“復雜版本”竟然先于“簡單版本”出現。那么為什么攻擊者會轉向“簡單版本”呢?
這兩個版本的巨大差異,表明改變攻擊重點很可能是因為利益相關者發生了變化。通過技術分析表明,當攻擊者嘗試以新的方式搞亂Natanz的業務時,攻擊者關心的首要問題已經不再是攻擊被人發現的問題了。關注重點的轉移可能助長了一個簡單的見解:核擴散來了又走了,但是網絡戰卻留下來了。這場攻擊的奧運會(Operation Olympic Games)開啟了一場不可預知結果的實驗。沿著這條路,一個結果變得清晰,即“數字武器”出現了。與“模擬武器”不同,它們并未通過軍隊來產生傷害,他們產生的附加傷害很少,它們可以被偷偷的部署,并且非常的便宜。這個打開的潘多拉盒子所產生的影響已經遠遠超過伊朗本身,它使得20世紀的暴力戰爭看起來技術含量很低而且很殘酷。
換句話說,鼓吹這場在線的破壞戰役有附加的好處。隨著震網病毒的披露,這場攻擊的已結束,但是并未結束它的影響。五角大樓采用了不同于傳統的硬件,它不能顯示USB驅動器。震網病毒的啟示向世界展示了在一個世界超級大國手中的網絡武器可以做哪些事情。它當然使得美國免于尷尬,如果另外一個國家或者一個對手在數字領域率先展示出如此精妙的技術,那將是美國歷史上另一個不折不扣的斯普特尼克時刻。(譯者注:斯普特尼克時刻是人們認識到自己受到威脅和挑戰,必須加倍努力,迎頭趕上。它來自當時蘇聯發射的第一顆人造地球衛星“斯普特尼克”一號,此舉擊敗了美國,率先進入太空。)
我們并不確定震網病毒是否是被故意披露的,由于有如此多的人參與,它的一個意想不到的副作用竟然最終成為了關鍵。有一件事我們必須知道:震網病毒改變了21世紀的全球軍事戰略。
