震網(Stuxnet)是一種Windows平台上的計算機蠕蟲,2010年6月首次被白俄羅斯安全公司VirusBlokAda發現。它是首個針對工業控制系統的蠕蟲病毒,利用西門子公司控制系統(SIMATIC WinCC/Step7)存在的漏洞感染數據採集與監控系統(SCADA),能向可編程邏輯控制器(PLCs)寫入代碼並將代碼隱藏。
這是有史以來第一個包含PLC rootkit的電腦蠕蟲,也是已知的第一個以關鍵工業基礎設施為目標的蠕蟲。此外,該蠕蟲的可能目標為伊朗使用西門子控制系統的高價值基礎設施。據報導,該蠕蟲病毒可能已感染並破壞了伊朗納坦茲的核設施,並最終使伊朗的布希爾核電站推遲啟動。不過西門子公司表示,該蠕蟲事實上並沒有造成任何損害。
賽門鐵克安全響應中心高級主任凱文·霍根(Kevin Hogan)指出,在伊朗約60%的個人電腦被感染,這意味着其目標是當地的工業基礎設施。俄羅斯安全公司卡巴斯基實驗室發佈了一個聲明,認為Stuxnet蠕蟲“是一種十分有效並且可怕的網絡武器原型,這種網絡武器將導致世界上新的軍備競賽,一場網絡軍備競賽時代的到來。”並認為“除非有國家和政府的支持和協助,否則很難發動如此規模的攻擊。”伊朗成為了真實網絡戰的第一個目標。
歷史
2010年6月中旬,該病毒首次由安全公司VirusBlokAda發現,其根源可追溯到2009年6月。Stuxnet蠕蟲的最終編譯時間約為2010年2月3日。
2012年,《紐約時報》報導,美國官員承認這個病毒是由美國國家安全局在以色列協助下研發,以Olympic Games為計劃代號,目的在於阻止伊朗發展核武。
活動
自動化軟件 Step 7 與 Siemens PLC 之間的正常通信
Step 7 與 Siemens PLC 的通信被 Stuxnet 劫持
Stuxnet同時利用包括MS10-046、MS10-061、MS08-067等在內的7個最新漏洞進行攻擊。這7個漏洞中,5個針對Windows系統(其中四個屬於0day漏洞),2個針對西門子SIMATIC WinCC系統。
它最初通過感染USB閃存驅動器傳播,然後攻擊被感染網絡中的其他WinCC計算機。一旦進入系統,它將嘗試使用預設密碼來控制軟件。[3]但是,西門子公司不建議更改預設密碼,因為這“可能會影響工廠運作。”
該蠕蟲病毒的複雜性非常罕見,病毒編寫者需要對工業生產過程和工業基礎設施十分瞭解。利用Windows的0day漏洞數量也不同尋常,因為Windows零日漏洞的價值,黑客通常不會浪費到讓一個蠕蟲同時利用四個漏洞。Stuxnet的體積較大約有500KB,並使用了數種編程語言(包括C語言和C++),通常惡意軟件不會這樣做。Stuxnet還通過偽裝Realtek與JMicron兩家公司的數字簽名,以繞過安全產品的檢測並在短期內不被發現。它也有能力通過P2P傳播。這些功能將需要一個團隊,以及檢查惡意軟件不會使PLC崩潰。在西門子系統維護和故障排除方面擁有多年的經驗的埃裡克·拜爾斯(Eric Byres)告訴《連線》,編寫這些代碼需要很多人工作幾個月,甚至幾年。
移除
西門子已經發佈了一個Stuxnet的檢測和清除工具。西門子建議如果客戶檢測到感染請聯繫客戶支持,並建議客戶安裝微軟的漏洞補丁並禁用第三方USB設備。
該蠕蟲病毒可重新編程外部可編程邏輯控制器(PLC)的能力使得移除過程變得更為複雜。賽門鐵克警告的Liam O'Murchu警告說僅修復Windows系統可能無法完全解決感染問題,他建議全面檢查PLC。此外據推測,該蠕蟲的不正確移除可導致大量損失。
受影響的國家
賽門鐵克的研究表明,截至2010年8月6日,幾個受影響的國家主要有:
國家 受感染的電腦
中國 6,000,000(未經證實)(10月1日)
伊朗 62,867
印度尼西亞 13,336
印度 6,552
美國 2,913
澳大利亞 2,436
英國 1,038
馬來西亞 1,013
巴基斯坦 993
德國 5 (9月)
資料來自維基百科
卡巴斯基實驗室深度分析Stuxnet蠕蟲
卡巴斯基實驗室的專家認為Stuxnet蠕蟲開啟了網絡戰爭新紀元
近期發生的大規模Stuxnet蠕蟲攻擊引發了諸多討論和推測,人們不禁對這些攻擊的意圖、目的以及源頭產生好奇。還有一點最重要的謎團,這次攻擊的性質以及發起攻擊的攻擊者的身份到底是什麼?
雖然卡巴斯基實驗室目前還沒有發現足夠的證據確定攻擊者的身份或攻擊目標,但有一點我們可以肯定,這種複雜惡意攻擊的背後必然是一個財力雄厚,技術高超的攻擊團隊,而且他們對SCADA技術非常精通。
我們認為除非有國家和政府的支持和協助,否則很難發動如此規模的攻擊。
卡巴斯基實驗室創始人及CEO尤金·卡巴斯基先生說,“我認為這是一個具有劃時代意義的轉折點,從今以後,我們進入了一個新紀元。因為以往的網絡攻擊僅僅是由網絡罪犯發起,而現在恐怕已經進入網絡恐怖主義、網絡武器和網絡戰爭時代了。”
卡巴斯基先生在德國慕尼黑召開的卡巴斯基安全大會上對參會的國際媒體記者如是評價Stuxnet蠕蟲,並稱Stuxnet蠕蟲開啟了 “潘多拉之盒”。
他說:“這種惡意程序的功能不是竊取錢財、發送垃圾郵件或者收集個人數據,它的目的是破壞電廠、工廠等各種工業系統。”
卡巴斯基先生還補充說:“恐怕這代表着一個新時代的開啟。上世紀90年代,是網絡破壞者的時代;從2000年到2010年,是網絡罪犯猖獗的時代;而現在恐怕則是網絡戰爭和網絡恐怖主義的新時代。”
卡巴斯基實驗室的研究者最早發現此蠕蟲能夠利用四種零日漏洞進行攻擊,我們將相關研究結果直接報告給了微軟將公司,並且同微軟公司緊密合作,協助微軟發布了修補這些漏洞的補丁程序。
除了能夠利用四種零日漏洞進行攻擊外,Stuxnet蠕蟲還會利用兩種有效的數字證書(Realtek和JMicron),這使得該蠕蟲即使感染系統,也不容易被發現。
該蠕蟲的最終目的是入侵Simatic WinCC SCADA系統,該系統主要被用做工業控制系統,能夠監控工業生產、基礎設施或基於設施的工業流程。類似的系統在全球範圍內被廣泛地應用於輸油管道、發電廠、大型通信系統、機場、輪船甚至軍事設施中。
此外,發動這次攻擊的攻擊者對SCADA內部技術十分瞭解,同時這款惡意軟件採用了複雜的多層攻擊技術,並且能夠利用多種零日漏洞以及合法的數字證書,所有的這一切都表明Stuxnet蠕蟲的幕後團隊是技術非常高超的專業人員,並且具有廣泛的資源以及強大的財力做後盾。
該蠕蟲的攻擊目標和蠕蟲疫情爆發的地理位置(主要在伊朗)都表明其幕後指揮者絶對不是一般的網絡犯罪集團。此外,我們分析該蠕蟲代碼的安全專家認為Stuxnet蠕蟲的主要目的並不是監視受感染的系統,而是進行大規模的破壞。所有上述事實均表明Stuxnet蠕蟲的開發和使用很可能得到某個國家的支持,該國家還一定具有強大的情報數據收集和處理能力。
卡巴斯基實驗室認為Stuxnet蠕蟲是一種十分有效並且可怕的網絡武器原型,這種網絡武器將導致世界上新的軍備競賽,一場網絡軍備競賽時代的到來。
目前,卡巴斯基實驗室已經將該蠕蟲成功截獲併為用戶提供有效的防護。
美國政府涉及開發與散布Stuxnet蠕蟲
文/陳曉莉 (編譯) 2012-06-04
紐約時報報導,美國在以色列政府的協助下,針對伊朗執行了代號為Olympic Games的網路攻擊行動,目的是為了阻止伊朗政府開發核彈,並建置了先前造成肆虐的Stuxnet蠕蟲,雖有跡象顯示最近被發現的Flame蠕蟲與Stuxnet有許多相似之處,但美國政府拒絕回應是否與該攻擊有關。
紐約時報查訪了曾參與或熟悉Olympic Games行動的專家,指出歐巴馬一上任便指示要增加對伊朗核武設備電腦系統的攻擊,而這也是美國首次持續使用網路武器。
在2010年9月,伊朗證實了境內首座核能發電廠受到Stuxnet感染,且核子離心機因而被摧毀,隔年資安業者賽門鐵克(Symantec)的研究指出,Stuxnet鎖定伊朗的五大組織,而且駭客集團在完成Stuxnet蠕蟲的12個小時後便成功進行感染,還表示該蠕蟲鎖定諸如天然氣或發電場等工業控制系統。
雖然Stuxnet是鎖定伊朗,但後來卻失控並透過網路流竄至其他國家,包括印尼、印度、亞塞拜然、巴基斯坦,與馬來西亞皆傳出災情。
至於卡巴斯基實驗室最新發現的Flame蠕蟲據稱存在已超過一年,包括卡巴斯基實驗與賽門鐵克都認為只有在政府的支持下才能打造高度複雜的Flame,因為它需要技術、時間與金錢。
Flame可嵌人數十種模組以竊取機密資訊,包括側錄鍵盤、複製螢幕內容或語音通訊,還可偵測網路流量,它不但是個模組化的蠕蟲,還能擴充與更新。由於太過複雜,迄今資安業者尚未完成對Flame的分析,賽門鐵克病毒分析師Peter Szor說明,Flame最小的模組都有超過7萬行的C語言程式,比Stuxnet及Duqu都還複雜,而這兩個蠕蟲都需要數個月的時間才能完成分析,顯示Flame架構與規模之大。
即使美國政府拒絕回應是否涉及Flame攻擊,但資安業者發現Flame與Stuxnet有不少相似處,不論是Flame或Stuxnet,受害最嚴重的國家都是伊朗,此外,研究人員也發現Flame與Stuxnet或Duqu有許多主要功能是一樣的,它們除了在同樣的平台上撰寫外,也使用許多同樣的程式碼,因此,他們相信這些蠕蟲是由同一群程式設計師所撰寫。
這使得卡巴斯基實驗室創辦人Eugene Kaspersky出面警告,網路武器將是這個世紀最危險的發明,政府可用網路武器來癱瘓伊朗的核彈製造,也可以用來摧毀發電場、金融系統,甚至是軍事防禦能力。
報導網址:http://www.ithome.com.tw/itadm/article.php?c=74131
沒有留言:
張貼留言