|
|
超级工厂病毒,又称Stuxnet蠕虫、震网病毒,是世界上首个针对工业控制系统编写的破坏性病毒,能够利用 Windows系统和西门子SIMATIC WinCC系统的多个漏洞进行攻击。该病毒主要通过移动介质和局域网进行传播。Stuxnet蠕虫是世界上首个专门针对工业控制系统编写的破坏性病毒,能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击。特别是针对西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行攻击,一旦运行该系统的服务器感染了Worm/Stuxnet,工业控制指令和数据等信息可能被病毒拦截、窃取或修改。此外,该蠕虫还会从互联网进行更新和接收黑客命令,使感染主机被黑客远程完全控制,成为“僵尸计算机”。
《基督教科学箴言报》报道,这种新病毒采取了多种先进技术,因此具有极强的隐身和破坏力。只要电脑操作员将被病毒感染的U盘插入USB接口,这种病毒就会在神不知鬼不觉的情况下(不会有任何其他操作要求或者提示出现)取得一些工业用电脑系统的控制权。
与传统的电脑病毒相比,“震网”病毒不会通过窃取个人隐私信息牟利。由于它的打击对象是全球各地的重要目标,且无需借助网络连接进行传播,因此被一些专家定性为全球首个投入实战舞台的“网络武器”。一旦这种软件流入黑市出售,其后果将不堪设想。
据卡巴斯基实验室监测报告显示, Stuxnet蠕虫攻击已经引发关于攻击者身份、攻击目标、攻击意图等诸多争论。从微软公布的调查结果中来看,该病毒正在伊朗等中亚国家肆虐,每日的发作频次也越来越高,并有逐步向亚洲东部扩散的迹象。据全球最大安全公司Symantec初步研究,近60%的感染发生在伊朗,其次为印尼(约20%)和印度(约10%),阿塞拜疆、美国与巴基斯坦等地亦有小量个案。国内安全专家李铁军在其微博中表示:“Stuxnet病毒感染特定的WinCC系统(见于西门子公司的工控机),Stuxnet病毒的某些行为类似于conficker病毒(该病毒曾经导致法国军方下令战机停飞)。按常理,病毒攻击特定系统依靠U盘传播,其传播更象间谍行为。”
自2010年6月以来,Stuxnet恶性超级病毒就开始在全球范围大肆传播,已感染超过4.5万个局域网络。Stuxnet是第一个利Windows“零日漏洞”,针对控制系统和公共事业机构发动攻击的恶意软件,能够攻击包括石油运输管道、发电厂、大型通信设施、机场等多种工业和民用基础设施。目前伊朗受Stuxnet病毒影响最为严重,近60%的电脑受到感染,而原计划于8月启动运行的Bushehr核电站也惨遭攻击。
Stuxnet病毒主要利用Windows系统漏洞实施攻击和传播,具有极强的复制能力和明确的攻击目标,一旦成功感染系统就会自动传播给其他与之相连的电脑,最后造成大量网络流量的连锁效应,导致整个网络系统瘫痪。卡巴斯基实验室创始人兼CEO尤金·卡巴斯基先生表示:“这是一个转折点,表明传统的网络犯罪正在向网络武器、网络恐怖主义和网络战争转变。”
截至目前,卡巴斯基实验室还没有足够证据用以识别攻击者来自哪里及其预定攻击目标,但可以确定的是,这是一种掌握了独一无二的、复杂的、娴熟且高超技术的团队恶意攻击行为。另外,卡巴斯基实验室认为,这是全球第一个得到某国政府资助下展开的大规模恶意网络攻击行为。
“我认为此事将成为网络攻击行为的转折点,同时也提醒我们必须重新认识网络安全环境,此前的恶意攻击行为仅限于破坏网络,而此次攻击恐怕与网络恐怖活动、网络军备竞赛及网络战争有关。”卡巴斯基实验室创办人兼首席执行官尤金·卡巴斯基出席在德国慕尼黑举行的卡巴斯基实验室国际新闻记者安全研讨会上对此表示。他还特别强调,“与传统的恶意程序最大的不同点在于,Stuxnet蠕虫的攻击目的不是要偷盗钱财、发送垃圾邮件、窃取个人隐私,而是旨在破坏植物、与工业系统”。
尤金·卡巴斯基将Stuxnet比喻成为打开的“潘朵拉魔盒”,他说:“我很害怕,Stuxnet开始一个全新的网络犯罪世界。自1990年开始后的十年,我们曾经历过十年网络“浩劫”,但是对于网络犯罪者来说,Stuxnet的出现无疑为其开创了一个实施网络恐怖活动与网络战争的‘新时代’”。
工业计算机专家兰纳猜测,Stuxnet可能意在坏伊朗的布什尔核电站。这个由俄罗斯兴建的核电厂未能如期运作,伊朗当局上月底称,“酷热天气”令核电厂被迫延后全面运作。但兰纳认为,核电厂是因技术问题而延误运作。德国安全公司GSMK首席科技官则认为,Stuxnet真正目标是位于伊朗纳坦兹的铀浓缩工厂。他的依据是Stuxnet似乎在去年 1月开始入侵计算机系统,而根据“维基解密”网站爆料,纳坦兹铀浓缩工厂去年7月曾发生“严重”核事故,当时伊朗浓缩铀产量离奇下跌。
卡巴斯基实验室病毒分析师在近期针对“零日漏洞”的研究过程中发现,三种新漏洞能够直接对微软及其协作伙伴的产品形成巨大破坏。此外,利用“零日漏洞”,Stuxnet蠕虫凭借两种有效证件(Realtek与JMicron)能够在相当长的时间内保持恶意攻击行为。
经研究发现,Stuxnet蠕虫的终极目标是入侵用于监控工业、基础设施、或工厂建设过程中所使用的相关终端控制系统,类似系统广泛应用于石油管道、电厂、大型通信系统、机场、船舶、乃至全球军事设施。
从其成熟的技术、多层次的渗漏攻击、使用多个“零日漏洞”以及采取合法证件的攻击方式不难看出:Stuxnet的背后是由一个非常成熟的专业团队运作,其拥有巨大的资源及财政支持。
在全球范围内,60%被Stuxnet感染的电脑都来自伊朗,首要目标就是伊朗的布什尔核电站,可见这次恶意行为的攻击目标非常清晰,这并不是一个普通网络犯罪集团所为。另外,安全专家在分析此次恶意攻击过程中发现,Stuxnet并没有对被攻击目标的系统资料实施间谍行为,但对其进行了严重破坏。以上事实表明:Stuxnet的出现可能是由一个具有很强情报资料处理能力的国家在背后操纵。
报道称,科技新闻网站wired.com指出,若伊朗是Stuxnet攻击目标,美国与以色列将是发动袭击的主要嫌疑,因为两国都有技术和资源来打造一个如此复杂的恶意程序。以色列新闻网站Ynetnews去年曾引述以色列前内阁成员称,牵制伊朗核计划的唯一可行方法,就是利用计算机恶意软件发动网络攻击。
卡巴斯基实验室认为:Stuxnet是一个非常可怕的“网络攻击武器”原形,其将会在世界范围内引发新一轮的网络军备竞赛。
点评:
网络战的说法早已有之,网络战最基本的攻击手段之一就是病毒、木马。如果Stuxnet蠕虫的真实攻击目标就是伊朗核设施的话,那我们可就看到了一次现实版网络战的攻击效果。但卡巴斯基先生提到的“网络恐怖活动”确实让人担忧,Stuxnet蠕虫无疑为网络犯罪分子指出一种新的攻击方法,黑色产业链恐将升级,并更具暴力、攻击性。
专家指出,病毒能控制关键过程并开启一连串执行程序,最终导致整个系统自我毁灭。德国网络安全研究员拉尔夫•朗纳认为Stuxnet是一种百分之百直接面向现实世界中工业程序的网络攻击,绝非所谓的间谍病毒,而是纯粹的破坏病毒。并坚信Stuxnet被设计出来,就是为了寻找基础设施并破坏其关键部分,因为Stuxnet病毒的高端性意味着只有一个“国家”才能把它开发出来。他的这种观点,与尤金•卡巴斯基先生不谋而合。除此以外,另一个证据也可证明他们的观点。首先,攻击者对SCADA内部技术十分了解,并且这款恶意软件采用了复杂的多层攻击技术,可利用多种零日漏洞以及合法的数字证书,一切都表明Stuxnet蠕虫的幕后团队是技术非常高超的专业人员,并且具有广泛的资源以及强大的财力做后盾。该蠕虫的攻击目标和蠕虫疫情爆发的地理位置(主要在伊朗)都表明其幕后指挥者绝对不是一般的网络犯罪集团。
现在看来,网络恐怖主义已经不仅停留在思维概念中了,它,就现实地站在我们面前。
附录:
卡巴斯基官方日前发布了一篇名为:360欺骗4亿网民 胡乱解读“超级工厂”病毒——卡巴斯基关于360胡乱解读“超级工厂”的声明,文章指出360官方关于“超级工厂”的新闻可谓“一派胡言”,其对“超级工厂”病毒的解读是在欺骗网民。声明全文如下:
卡巴斯基实验室于2010年7月15日向全球公布了对“Stuxnet”病毒(国内译成“震网”、“超级病毒”或“超级工厂”,以下称“超级工厂”)的技术分析,并于9月24日由其创始人及CEO尤金·卡巴斯基先生公布了更为深入的行业解读:
1、“超级工厂”病毒采用了复杂的多层攻击技术,同时利用四种“零日漏洞”对微软操作系统进行攻击,利用两种有效的数字证书(Realtek和JMicron),让自己隐身。
2、“超级工厂”的目的不像一般的病毒,干扰电脑正常运行或盗窃用户财产和隐私,其最终目的是入侵 Simatic WinCC SCADA系统,该系统主要被用做工业控制系统,能够监控工业生产、基础设施或基于设施的工业流程。类似的系统在全球范围内被广泛地应用于输油管道、发电厂、大型通信系统、机场、轮船甚至军事设施中。
3、“超级工厂”已然是网络武器,被用于攻击敌对方的有重要价值的基础设施。它标志着网络军备竞赛的开始。
4、“超级工厂”的幕后团队是技术非常高超的专业人员,并且具有广泛的资源以及强大的财力做后盾,他们应该是得到了某个国家或政府机构的支持。
对于这样一款标志着全球网络安全进入“基础设施保护时代”的恶性病毒,360不但没有做出任何得到微软承认的实质性贡献,却在10月2日,即卡巴斯基公布技术分析两个月后,发表了一份可谓“一派胡言”的官方新闻,声称“超级工厂”利用了“已知的”微软漏洞,更口出狂言:“因为有360系列安全软件的存在”,“中国已躲过‘超级工厂’病毒攻击” 。
事实上,“超级工厂”利用的正是“未知的”微软漏洞(国际上通常称之为“零日漏洞”),也即它是在微软尚没有认识到该漏洞之前进行系统攻击的。因此,即使用户天天在用360打微软补丁,也无法防御这类攻击。专业安全软件厂商之所以能够存在,就是因为它能在微软发布漏洞补丁之前就能帮助用户抵御这类病毒,甚至是比微软更早的发现这些“未知”的漏洞。卡巴斯基是全球第一个发现 “超级工厂”利用了两个最新的“零日漏洞”来进行攻击的专业安全厂商,比微软自身发现的还早,并在第一时间协助微软修复此漏洞,发布漏洞补丁。
“超级工厂”之所以没有同步在中国大爆发,最根本的原因是“超级工厂”的幕后团队并没有在第一时间把中国当成攻击目标,并不是因为中国有多少人安装了360。如360宣称的那样,360依靠的是帮助用户打微软补丁防御“超级工厂”,这就意味着在微软发布补丁之前,360是没法防御“超级工厂”的。如果“超级工厂”第一时间就攻击中国,那么安装了360的3亿网民(360官方数据)将全部“沦陷”,无一能逃。
卡巴斯基实验室认为,像360这样的非专业安全厂商,没有相应的技术和能力在第一时间截获“超级工厂”,不能对“超级工厂”这样的恶性病毒做出深入而合理的分析,是可以理解的。但是,360掩饰自己的不足,就“超级工厂”发表严重背离事实,混淆视听的官方新闻,是完全不能接受的。360的言论很容易让很多普通用户认为装了360就能抵御类似“超级工厂”这样的恶性病毒。如果长期容忍这种欺骗用户、不顾事实的假宣传在安全行业蔓延,那么整个中国的互联网安全形势将进一步恶化,越来越多的最终用户会因为得不到正确的安全知识和专业的安全保护而受到伤害,遭遇更大的损失。
卡巴斯基实验室
2010年10月13日
原文:http://www.lkong.net/thread-314555-1-1.html |
Stuxnet, Worm, 卡巴斯基, 工厂, 网络, Stuxnet, Worm, 卡巴斯基, 工厂, 网络, Stuxnet, Worm, 卡巴斯基, 工厂, 网络
|
狗仔卡
发表于 2010-10-14 04:41
提升卡
变色卡
抢沙发
千斤顶
显身卡