深度解讀:震網(wǎng)病毒的秘密
引子:
看到litdg翻譯的《震網(wǎng)的秘密兄弟(一)》,感覺有些地方跟我想象的不一樣,所以在litdg兄的基礎(chǔ)上就行了更新,我是搞工業(yè)自動化的,恰巧陰差陽錯的跟信息安全有了些交集,所以以ICS(工業(yè)控制系統(tǒng))的視角,來闡述我對原文的理解。
真正用來破壞伊朗核設(shè)施的震網(wǎng)病毒,其復(fù)雜程度超出了所有人的預(yù)料。
作為第一個被發(fā)現(xiàn)的網(wǎng)絡(luò)攻擊武器,震網(wǎng)病毒在被發(fā)現(xiàn)后三年來仍然困擾著軍事戰(zhàn)略家、信息安全專家、政治決策者和廣大公眾。圍繞震網(wǎng)病毒的分析主要有:
(1)它是如何攻擊位于Natanz的伊朗核設(shè)施的?
(2)它是如何隱藏自己的?
(3)它是如何違背開發(fā)者的期望并擴散到Natanz之外的?但是這些分析的主要內(nèi)容要么是錯誤的要么是不完整的。
因為,震網(wǎng)病毒并不是一個而是一對。大家的注意力全都關(guān)注著震網(wǎng)病毒的“簡單功能”,即該功能用來改變鈾濃縮的離心機轉(zhuǎn)速,而另外一個被忽視的功能是卻是更加的復(fù)雜和隱秘的。這一“復(fù)雜功能”對于了解ICS(IndustrialControl System的簡稱)信息安全的人來說簡直是夢魘,奇怪的是“復(fù)雜功能”竟然先于“簡單功能”出現(xiàn)。“簡單功能”在幾年后才出現(xiàn),不久即被發(fā)現(xiàn)。
隨著伊朗的核計劃成為世界輿論的中心,這有利于我們更清晰的了解通過程序來嘗試破壞其核計劃。震網(wǎng)病毒對于伊朗核計劃的真實影響并不確定,因為到底有多少控制器真正的被感染,并不清楚,沒有這方面的消息。但是不管怎樣,通過深入的分析我們可以知道攻擊者的意圖、以及如何實現(xiàn)意圖。我在過去的三年里對震網(wǎng)病毒進(jìn)行分析,不但分析其計算機代碼,還有被攻擊工廠中采用的硬件設(shè)備以及核工廠的操作流程。我的發(fā)現(xiàn)如下全景圖所示,它包含震網(wǎng)病毒的第一個不為人知的變種(“復(fù)雜功能”),這一變種需要我們重新評估其攻擊。事實上這一變種要比公眾所認(rèn)知的網(wǎng)絡(luò)武器危險的多。
2007年有人在計算機信息安全網(wǎng)站VirusTotal上提交了一段代碼,后來被證實是震網(wǎng)病毒的第一個變種(“復(fù)雜功能”),至少是我們已知的第一個。對于第一個震網(wǎng)病毒變種,在五年后(2012)大家基于震網(wǎng)病毒的第二個變種(“簡單功能”)的了解基礎(chǔ)上,才意識到這是震網(wǎng)病毒。如果沒有后來的“簡單功能”版本,老的震網(wǎng)病毒(“復(fù)雜功能”)可能至今沉睡在反病毒研究者的檔案中,并且不會被認(rèn)定為歷史上最具攻擊性的病毒之一。
今天,我們已經(jīng)知道,擁有“復(fù)雜功能”的震網(wǎng)病毒包含一個payload,該payload可以嚴(yán)重的干擾位于Natanz的鈾濃縮工廠中的離心機保護(hù)系統(tǒng)。
后來的震網(wǎng)病毒,被大家熟知的那個“簡單功能”版,控制離心機的轉(zhuǎn)速,通過提高其轉(zhuǎn)速而起到破壞離心機的效果。老版本的震網(wǎng)病毒(“復(fù)雜功能”)其Payload采用了不同的策略,它用來破壞用于保護(hù)離心機的Safe系統(tǒng)。
譯者注:工控系統(tǒng)中通常會部署Safe系統(tǒng),當(dāng)現(xiàn)場的控制器和執(zhí)行器出現(xiàn)異常的時候,該Safe系統(tǒng)會運行,緊急停車防止事故發(fā)生。而本文論述的震網(wǎng)病毒“復(fù)雜功能”版,將Safe系統(tǒng)也攻陷了。震網(wǎng)病毒的“簡單功能”版在沒有“復(fù)雜功能”的配合下是不能夠損壞離心機的,因為離心機的轉(zhuǎn)速不正常的情況下,Safe系統(tǒng)就會工作,會停止離心機的運轉(zhuǎn),這樣伊朗的技術(shù)人員能夠迅速的發(fā)現(xiàn)震網(wǎng)病毒。只有Safe系統(tǒng)也被破壞的情況下,震網(wǎng)病毒的“簡單功能”才能夠隨意的控制離心機的轉(zhuǎn)速。當(dāng)然伊朗的Safe系統(tǒng)與工業(yè)現(xiàn)場的傳統(tǒng)意義上的Safe系統(tǒng)有所不同,該Safe系統(tǒng)可以說是輔助系統(tǒng),因為其離心機質(zhì)量不過關(guān),必須通過該Safe系統(tǒng)保證整體系統(tǒng)的正常運轉(zhuǎn)。工業(yè)現(xiàn)場中很重要的一點是連續(xù)長時間的穩(wěn)定運行。
Safe系統(tǒng)通常部署在發(fā)生異常的條件下,可能導(dǎo)致設(shè)備毀壞或生命財產(chǎn)損失的地方。在Natanz,我們看見一個特殊的安全保護(hù)系統(tǒng),通過它的部署可以使得過時且不可靠的離心機型號“IR-1”持續(xù)的運轉(zhuǎn)。安全保護(hù)系統(tǒng)是伊朗核計劃的關(guān)鍵組成部分,如果沒有它,離心機IR-1幾乎無用。
IR-1離心機是伊朗鈾濃縮的根基。它可以追溯到從20世紀(jì)60年代末由歐洲設(shè)計,70年代初被竊取,并被巴基斯坦的核販子A.Q.Khan稍稍改進(jìn)。全金屬設(shè)計的IR-1是可以穩(wěn)定的運行的,前提是其零件的制造具有一定精度,并且關(guān)鍵組件例如高質(zhì)量頻率轉(zhuǎn)換器和恒力矩驅(qū)動質(zhì)量很高。但是伊朗人并未設(shè)法從過時的設(shè)計中獲取更高的可靠性。因此他們不得不降級離心機的運行壓力在Natanz工廠。較低的運行壓力意味著對轉(zhuǎn)子的機械壓力變小,這樣離心機轉(zhuǎn)子損壞就會降低,從而減少了由于轉(zhuǎn)子損壞而使得離心機離線的數(shù)量。但是較小的工作壓力意味著較少的產(chǎn)出,因而效率較低。IR-1離心機在最佳情況下,只能達(dá)到其最高產(chǎn)能的一半。
這種不可靠和低效率的IR-1型離心機,對于伊朗來說有一個顯而易見的有點,伊朗可以大規(guī)模的制造生產(chǎn)。伊朗通過數(shù)量來彌補不穩(wěn)定性和低效率,他們能夠接受在運行過程中一定數(shù)量的離心機損壞,因為他們制造離心機的速度比離心機損壞的速度要快多了。但是要想讓所有的離心機工作,伊朗需要下一番功夫。通常,離心處理操作是一個嚴(yán)苛的工業(yè)流程,在流程運行過程中,它不可以存在任何的問題,甚至連小型設(shè)備的問題也不可以。伊朗建立了一套級聯(lián)保護(hù)系統(tǒng)(譯者:類似于Safe系統(tǒng)),它用來保證離心流程持續(xù)進(jìn)行,即使離心機壞掉。
在離心機層,級聯(lián)保護(hù)系統(tǒng)在每個離心機上安裝了三個截止閥。通過關(guān)閉這些閥門,運行出故障的離心機可以從現(xiàn)有的系統(tǒng)上隔離出來。隔離后的離心機可以停機并被維護(hù)工程師替換,而工藝流程仍然正常運行。
上圖是2008年,當(dāng)時的總統(tǒng)艾哈邁迪.內(nèi)賈德在Natanz的控制室觀看SCADA的場景。面對攝影師的屏幕顯示兩個離心機已經(jīng)被隔離,提示存在問題,但這并沒有影響整個工藝流程的持續(xù)運行。(紅色高亮顯示的是有問題的離心機)
但是這種隔離閥的解決方案也導(dǎo)致了許多問題。當(dāng)基于不可靠的離心機運行時,離心機會經(jīng)常被關(guān)閉,當(dāng)同組的離心機已經(jīng)被隔離的情況下,維護(hù)工程師可能沒有機會替換另一個剛剛毀壞的離心機(譯者注:通常工業(yè)現(xiàn)場采用冗余,因此伊朗也很可能采用了離心機的冗余策略,即一個壞掉,可以馬上切換到另外一個使其工作,問題他們的離心機太脆弱,會出現(xiàn)兩個都壞了的情況。)如果同一個組中的離心機都停機了,運行壓力(使用離心機進(jìn)行鈾濃縮過程中非常敏感的參數(shù))將會升高,從而導(dǎo)致各種各樣的問題。
伊朗人發(fā)現(xiàn)了一個很有創(chuàng)造力的解決方案來處理這一問題,在每一個鈾濃縮組里,都安裝了一個排氣閥門,當(dāng)同一組中的多個離心機停機被隔離時,隨著壓力的升高,該排氣閥門可以排氣并降低壓力。在每一個離心處理組中,壓力有傳感器檢測,如果壓力超過限值,排氣閥門就會被打開,降低壓力。
這一系統(tǒng)可以保證Natanz的離心機運轉(zhuǎn),但是這也讓它陷入了可能被遠(yuǎn)程網(wǎng)絡(luò)攻擊的泥潭,有時候會讓人懷疑涉及這個系統(tǒng)的人是不是頭腦混亂。
Nataz的級聯(lián)保護(hù)系統(tǒng)基于西門子的S7-417系列工業(yè)控制器,這些控制器用來操控每個離心機上的閥門和壓力傳感器,共6組164臺離心機。控制器可以被理解成一個嵌入式計算機系統(tǒng),它直接連接物理設(shè)備,例如閥門。震網(wǎng)病毒被設(shè)計用來感染這些控制器,然后以用戶難以想象的方式取得控制權(quán),這種情況從來沒有在ICS相關(guān)的會議上討論過。
感染了震網(wǎng)病毒的控制器從真實的物理層斷開了,合法的控制邏輯變成了震網(wǎng)病毒想讓他展現(xiàn)的樣子(譯者注:就是控制器不在控制具體的物理信號和物理設(shè)備,僅僅是對上層應(yīng)用程序提供一個看上去它還在正常工作的假象而已。)在攻擊序列執(zhí)行前(大概每個月執(zhí)行一次),病毒代碼能夠給操作員展示物理現(xiàn)場正確的數(shù)據(jù)。但是攻擊執(zhí)行時,一切都變了。
震網(wǎng)病毒變種的第一步是隱藏其蹤跡,采用了來自好萊塢的策略。震網(wǎng)病毒以21秒為周期,記錄級聯(lián)保護(hù)系統(tǒng)的傳感器數(shù)據(jù),然后在攻擊執(zhí)行時以固定的循環(huán)重復(fù)著21秒鐘的傳感器數(shù)據(jù)。在控制室,一切看起來都正常(譯者注:因為攻擊執(zhí)行時,被感染的控制器重復(fù)的向控制室的監(jiān)控中心發(fā)送的是正常的21秒周期傳感器數(shù)據(jù),所以監(jiān)控中心完全發(fā)現(xiàn)不了。),既包括操作員也包括報警系統(tǒng)。
然后震網(wǎng)病毒開始其真正的工作,它首先關(guān)閉位于前兩組和最后兩組離心處理的隔離閥。阻止了受影響的級聯(lián)系統(tǒng)的氣體流出,從而導(dǎo)致其他的離心機壓力提升。壓力的增加將導(dǎo)致更多的六氟化鈾進(jìn)入離心機,給轉(zhuǎn)子更高的機械應(yīng)力。最終,壓力可能會導(dǎo)致氣體六氟化鈾固化,從而嚴(yán)重?fù)p害離心機。
這種攻擊一直持續(xù)到攻擊者認(rèn)為達(dá)到目的為止,根據(jù)監(jiān)控到的離心機的工作狀態(tài)而定。如果他們是為了毀滅性的破壞,那么很簡單。在Nataz的案例中,一個控制器控制的氣體固化可以輕易損壞上百臺離心機。聽起來這個目標(biāo)非常有價值,但它也會暴露攻擊者。伊朗的工程師在后期的分析中可以輕易的找到事故發(fā)生的原因。這次攻擊的實現(xiàn)過程中,攻擊者密切監(jiān)視運行的壓力和離心機的狀態(tài)表明,他們小心翼翼的避免毀滅性的損壞。增大運行壓力的方式看起來更像是為了讓轉(zhuǎn)子壽命更短一些。
不管怎樣,攻擊者非常謹(jǐn)慎的實施了這次攻擊。攻擊的代碼設(shè)計如此精細(xì),因為細(xì)小的改變或者配置錯誤都可能帶來很大的影響,甚至導(dǎo)致程序崩潰,一旦崩潰,就會被伊朗的工程師發(fā)現(xiàn)從而暴露行蹤。
這次過壓的攻擊結(jié)果也是未知的。不管是什么,在2009年的時候,攻擊者決定嘗試一些新的東西。#p#
新的震網(wǎng)病毒變種(譯者注:“簡單功能”版),與原始版完全不一樣(譯者注:“復(fù)雜功能”),與震網(wǎng)病毒原始版相比,它更簡單且缺少隱蔽性。震網(wǎng)病毒的“簡單功能”版用來攻擊Natanz工廠中的離心機的驅(qū)動系統(tǒng),該驅(qū)動系統(tǒng)用來控制轉(zhuǎn)子的轉(zhuǎn)速。(譯者注:可以參照前文中的第二張圖,“復(fù)雜功能”版用來攻擊給離心機降壓的保護(hù)系統(tǒng),“簡單功能”版用來直接攻擊離心機的電機驅(qū)動系統(tǒng))
與“復(fù)雜功能”版相比,震網(wǎng)病毒的“簡單功能”版其傳播方式也不同,這一病毒程序的早期版本必須安裝在目標(biāo)機上,最有可能是通過工程師站(譯者注:幾乎所有的自動化廠商的現(xiàn)場設(shè)備都會存在工程師站,工廠控制組態(tài)和設(shè)計均由工程師站來進(jìn)行,任何自動化廠商的工程師站如果被入侵的話,以腳本小子的技術(shù)水平都可能會對工業(yè)現(xiàn)場的設(shè)備造成極大影響,可以說工程師站就相當(dāng)于工廠控制系統(tǒng)的root賬戶)或者通過USB來感染西門子控制器的配置文件。換句話說,震網(wǎng)病毒的“簡單版本”需要攻擊者來故意傳播。
震網(wǎng)病毒的新版本(譯者注:“簡單功能”版)可以自我復(fù)制,通過網(wǎng)絡(luò)和USB來擴散到所有的計算機中,這些計算機不僅包含安裝了西門子組態(tài)軟件的PC,其他的也一樣感染。(譯者注:西門子控制系統(tǒng)的組態(tài)軟件主要是WinCC,伊朗采用的就是WinCC,整個工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)中,安裝了組態(tài)軟件的PC通常是叫做工程師站,單純監(jiān)控類軟件的叫做操作員站,當(dāng)然還有存儲數(shù)據(jù)的DataServer等等,因此一個工廠中的控制層網(wǎng)絡(luò)中的PC數(shù)量可能在幾十臺,甚至更多。震網(wǎng)病毒的感染是將工廠網(wǎng)絡(luò)中所有的PC都感染了。)這表明,攻擊者已經(jīng)不必通過具有訪問權(quán)限的人員來直接進(jìn)行病毒傳播了,也不用直接訪問由其他部門安裝配置的離心機系統(tǒng)(譯者注:因為病毒已經(jīng)在控制層網(wǎng)絡(luò)中擴散開了,現(xiàn)場的設(shè)備層離心機是接在了控制層網(wǎng)絡(luò)中的,所以此時所有的離心機驅(qū)動都能夠訪問控制了。)。
更重要的是,震網(wǎng)病毒使用了之前并未被發(fā)現(xiàn)的微軟Windows軟件漏洞即“0day”漏洞,這些“0 day”漏洞在市場上價值數(shù)十萬美元。新版本的震網(wǎng)病毒(“簡單功能”版)盜用了數(shù)字簽名,從而使得它看上去是一個合法的驅(qū)動程序,事實上最新版的Windows操作系統(tǒng)仍然會認(rèn)為它合法。
這一切都表明,某個新組織開發(fā)了震網(wǎng)病毒(“簡單功能”版),該病毒包含了寶貴了0 day漏洞和竊取的數(shù)字證書。相比之下,開發(fā)震網(wǎng)病毒(“復(fù)雜功能”版)用來實現(xiàn)對離心機進(jìn)行壓力攻擊的團(tuán)隊是一群頂尖的工控系統(tǒng)安全專家和游離余IT信息安全之外的信息安全程序開發(fā)者(譯者注:說白了,這些人就是專門搞工控系統(tǒng)信息安全的,包括程序開發(fā)者)。而用于提高離心機速度進(jìn)行攻擊的震網(wǎng)病毒(“簡單功能”版),則指向了更大的范圍和新的重點。如果震網(wǎng)病毒是美國開發(fā)的,根據(jù)已經(jīng)公布的資料可知就是美國人開發(fā)的,這只有唯一的理論上的地點:位于馬里蘭州(MaryLand)米德堡(FortMeade)的美國國家安全局總部。
雖然以多個“0 day”為代價,新的震網(wǎng)病毒(“簡單功能”版)與原始的震網(wǎng)病毒(“復(fù)雜功能”版)相比,更容易作為惡意程序被識別,因為它突然表現(xiàn)出的奇怪的和精密的行為。(譯者注:肯定的,因為它惡意的調(diào)整離心機轉(zhuǎn)速,工業(yè)現(xiàn)場的工程師一下就能發(fā)現(xiàn)系統(tǒng)出問題了。)相反,震網(wǎng)病毒的原始版(“復(fù)雜功能”版)則表現(xiàn)的更像是一個合法的軟件,運行在位于Natanz工廠中的西門子控制器中,唯一怪異的地方在于它沒有版權(quán)聲明和許可條款。(譯者注:工控廠商的軟件,通常都會有版權(quán)聲明的,大概說的就是這是哪家公司的軟件,不可以拷貝等等。另外,病毒應(yīng)該也能夠運行在其他工廠的西門子控制器中。)而新的震網(wǎng)病毒(“簡單功能”版)則包含了黑客們夢寐以求的大量的Exploit,甚至一些很牛的反病毒研究者都覺得它有些地方太強大,需要仔細(xì)的研究。
新的震網(wǎng)病毒(“簡單功能”版)與原始版本(“復(fù)雜功能”版)相似,也采用了周期性攻擊的策略,大概每個月攻擊一次,但是觸發(fā)攻擊的條件要簡單的多。在進(jìn)行增加壓力攻擊(“復(fù)雜功能”版)時,需要檢測過程變量,在某一特殊條件出現(xiàn)下,則觸發(fā)攻擊。(譯者注:應(yīng)該是根據(jù)過程變量的數(shù)據(jù)值,來判斷是否進(jìn)行攻擊,個人猜測,該功能主要用來提升壓力,程序的邏輯可能是判斷當(dāng)前運行的壓力信息,當(dāng)壓力信息達(dá)到某一個期望值時,控制泄壓閥關(guān)閉,從而使得壓力進(jìn)一步升高,從而起到攻擊效果,如果系統(tǒng)當(dāng)前運行的壓力值不是很高的話,則不攻擊,表現(xiàn)正常。),新的震網(wǎng)病毒(“簡單功能”版)則要更直接。
新的攻擊(“簡單功能”版)主要是改變轉(zhuǎn)子的轉(zhuǎn)速。利用過程壓力和轉(zhuǎn)子的轉(zhuǎn)速兩種方法能夠?qū)崿F(xiàn)增加轉(zhuǎn)子的內(nèi)壁壓力,其中通過增加轉(zhuǎn)子轉(zhuǎn)速來實現(xiàn)增加轉(zhuǎn)子的內(nèi)壁壓力是比較容易的方法。顯然震網(wǎng)病毒(“簡單功能”版)采用了這一辦法。通常IR-1型離心機的工作轉(zhuǎn)速為63000轉(zhuǎn)/分鐘,震網(wǎng)病毒(“簡單功能”版)對其提速了三分之一達(dá)到了84600轉(zhuǎn)/分鐘并運行了15分鐘,接下來讓離心機停下來達(dá)到120轉(zhuǎn)/分鐘(譯者注:近乎停止,大家生活中接觸到的電機通常在幾千轉(zhuǎn)的樣子),然后再讓他們?nèi)龠\轉(zhuǎn),整個過程持續(xù)50分鐘。(譯者注:大家可以想象我們自己開的車,把油門踩到底,然后急剎車,然后再把油門踩到底…每個月這么折騰一次,每次50分鐘的后果。)IR-1型離心機采用了超臨界設(shè)計,意味著轉(zhuǎn)子轉(zhuǎn)速到達(dá)工作速度前已經(jīng)超過了所謂的臨界速度,每當(dāng)轉(zhuǎn)子速度超過這些臨界速度時,會產(chǎn)生諧波,可能毀壞轉(zhuǎn)子。(譯者注:大學(xué)課程《電機拖動》有過這方面的介紹,不過我忘了,大概說的就是電機運轉(zhuǎn)有一個安全區(qū)間,在此一切ok,在此區(qū)間外就不妙了。就像葛優(yōu)說的,步子大了容易扯到蛋,電機速度太快也一樣。),
如果在攻擊時僅僅一個轉(zhuǎn)子被毀壞,級聯(lián)保護(hù)系統(tǒng)能夠?qū)牡碾x心機隔離,并繼續(xù)欲行其他的離心機。但是如果多個轉(zhuǎn)子同時被毀壞(一個相當(dāng)有可能的情況),伊朗的操作員就悲劇了,他們很詫異,為何如此多的離心機同時壞掉。庫房里雖然有足夠的離心機來更換,但是這讓控制系統(tǒng)工程師無法解釋這一問題而非常令人沮喪,可以把這些離心機看成幽靈機器(譯者注:確實,離心機就像幽靈一樣,統(tǒng)一掛掉。)
攻擊可能被工業(yè)現(xiàn)場的員工認(rèn)識到,通過他們的耳朵。(譯者注:電機速度劇烈變化的時候,能夠通過電機發(fā)出的聲音判斷出來。)。讓164臺離心機(或者更多)從63000轉(zhuǎn)/分鐘降到120轉(zhuǎn)/分鐘,然后在恢復(fù)到63000轉(zhuǎn)/分鐘,如果富有經(jīng)驗的員工在現(xiàn)場拿掉他們的保護(hù)耳機的話,是能夠注意這一問題的。(譯者注:工業(yè)現(xiàn)場噪音很大,特別是離心機這種,現(xiàn)場員工可能確實佩戴保護(hù)性的耳機,那樣他們確實聽不到離心機的詭異聲響。)。這從另一個側(cè)面說明,震網(wǎng)病毒(“簡單功能”版)的開發(fā)者已經(jīng)接受被現(xiàn)場操作員發(fā)現(xiàn)的風(fēng)險。
關(guān)于震網(wǎng)病毒通過破壞大量離心機,從而明顯降低了伊朗鈾濃縮的產(chǎn)能的文章已經(jīng)有很多。雖然那是毋庸置疑的,但是它并未表現(xiàn)出攻擊者的意圖。如果震網(wǎng)病毒導(dǎo)致了災(zāi)難性的后果,那么那就是個意外,而不是不是它的初衷。攻擊者可以采取一擊致命的措施,但是他們選擇了持續(xù)周期性讓其窒息的方式。震網(wǎng)病毒是一種低效率的武器,旨在降低伊朗的離心機的使用壽命,使得伊朗的控制系統(tǒng)表現(xiàn)的超出了他們的掌控。
此戰(zhàn)略很難被發(fā)現(xiàn),當(dāng)震網(wǎng)病毒開發(fā)出來時,伊朗已經(jīng)具備了量產(chǎn)IR-1型離心機的能力。在2010年夏天,當(dāng)震網(wǎng)病毒大量爆發(fā)的時候,伊朗運行著4000臺離心機,并且在庫房中保存著另外5000臺作為備用。一次性毀壞伊朗的操作設(shè)備并不能夠損害伊朗的核戰(zhàn)略,就像在1981年巴基斯坦發(fā)生的大地震,雖然嚴(yán)重的破壞了巴基斯坦的4000臺離心機,但是并沒有阻止巴基斯坦最終獲得核武器。據(jù)我的估算,震網(wǎng)病毒延緩了伊朗的核項目兩年,假使同時毀掉所有的離心機也不會產(chǎn)生如此大的延期。(譯者注:也就說通過這種病毒手段破壞離心機比通過暴力破壞離心機的性價比還要高)
圖為2008年至2010年Natanz工廠的離心機庫存數(shù)據(jù),伊朗始終保存著至少50%的備用離心機,也就是說同時摧毀運行中的離心機基本上不能阻止伊朗的核發(fā)展進(jìn)程。(譯者注:從圖中可以看出在某一階段09年底至10年底,伊朗的備用離心機數(shù)量超過了4000臺,比運行中的離心機數(shù)量還多,如果一次性將運行中的離心機全部干掉,伊朗仍然有足夠的離心機進(jìn)行替換。)
低效率的震網(wǎng)病毒攻擊方法提供了額外的附加值,它使得伊朗的工程師抓狂,并且使得他們再也不能有效的運行工廠(該工廠的設(shè)計是20世紀(jì)70年代竊取設(shè)計后,開始運行的)和他們過度的數(shù)字保護(hù)系統(tǒng)。與巴基斯坦的鈾濃縮計劃相比,人們會注意到一個重要的效率差異,巴基斯坦在其搖搖欲墜的經(jīng)濟(jì)背景下,僅用了短短兩年的時間就完成了從零開始到低濃度的鈾濃縮,并且沒有采用最新的數(shù)字控制技術(shù)。而伊朗雖然借助了巴基斯坦核販子A.Q. Khan的幫助并通過賣原油而積累了大量的資金,但是為了完成低濃度鈾濃縮花費了超過10年的時間。如果伊朗的工程師不那么無能的話,他們應(yīng)該在能在震網(wǎng)病毒入侵他們系統(tǒng)之前完成鈾濃縮。(譯者注:不是敵人太狡猾,而是我方太無能。)#p#
相傳在2010年的夏天,當(dāng)震網(wǎng)病毒破壞了Natanz工廠后,由于控制軟件存在一個bug,在對該軟件進(jìn)行升級時,震網(wǎng)病毒便由此從核工廠向外界擴散開來。(譯者注:伊朗不可能天真到為了升級控制軟件與而與外界進(jìn)行聯(lián)網(wǎng)升級的,因此它的升級應(yīng)該是通過售后工程師去現(xiàn)場進(jìn)行升級的。)雖然那是個美妙的傳說,但不可能是真的。震網(wǎng)病毒僅在局域網(wǎng)中的電腦間傳播,或者是通過USB拷貝文件時傳播。換句話說,震網(wǎng)病毒必須需要黑客來實現(xiàn)大量傳播,通過調(diào)制解調(diào)器或者VPN進(jìn)行遠(yuǎn)程訪問的這段時間里,黑客可以將震網(wǎng)病毒擴散到整個世界。(譯者注:來自賽門鐵克的震網(wǎng)病毒分析文檔中介紹過,其主要是通過USB漏洞和打印機驅(qū)動漏洞實現(xiàn)局域網(wǎng)內(nèi)的傳播的。因此,震網(wǎng)病毒在因特網(wǎng)上的傳播是有人明確的散播的。)
Natanz工廠的設(shè)備供應(yīng)商,同樣要為其他客戶進(jìn)行工作。這些人員很可能將他們感染了震網(wǎng)病毒的筆記本電腦帶到了其他客戶那里,并將他們的電腦接入了這些次要客戶的局域網(wǎng)中。例如,他們將震網(wǎng)病毒傳播到了一個水泥廠,而這個水泥廠的其他供應(yīng)商也將移動PC接入了這個已經(jīng)被感染的局域網(wǎng),這樣這些移動PC就可以將病毒傳播的更遠(yuǎn),傳播到另外一個水泥廠或者另一個國家。在這個傳播鏈條上,受感染的設(shè)備供應(yīng)商或者雇員可能通過遠(yuǎn)程訪問他們的機器,從而使得病毒傳遍了五大洲。震網(wǎng)病毒以它的方式迅猛的傳遍了世界各地。(并不是因為數(shù)以億記的控制系統(tǒng)連接到了因特網(wǎng),而是其利用了在因特網(wǎng)上的可信網(wǎng)絡(luò)隧道。)例如,遠(yuǎn)程維護(hù)通常會具備在線訪問共享文件夾的權(quán)限,從而給了震網(wǎng)病毒一個通過安全數(shù)字通道進(jìn)行傳播的機會。我和我的同事早在2010年幫助那些感染了震網(wǎng)病毒的客戶時就發(fā)現(xiàn),這些客戶所從事的領(lǐng)域與核領(lǐng)域完全不相關(guān)。(譯者注:也就是說,震網(wǎng)病毒可能在很多的工業(yè)控制系統(tǒng)中存在,只是人家對于非核領(lǐng)域的工業(yè)控制系統(tǒng)不感興趣罷了,否則想搞你,很容易。)
鑒于震網(wǎng)病毒將被感染系統(tǒng)的網(wǎng)絡(luò)協(xié)議地址和主機名發(fā)送給了它的CC服務(wù)器(Command and Control Server),可以看出攻擊者很顯然希望將病毒擴散到民用系統(tǒng),并很渴望精準(zhǔn)的控制其傳播。通過精準(zhǔn)的控制,最終實現(xiàn)將病毒擴散到為Natanz工作的設(shè)備供應(yīng)商,以及這些供應(yīng)商的客戶,甚至伊朗的秘密核工廠。
震網(wǎng)病毒為未來的攻擊者提供了一個有用的藍(lán)本,給出了一條入侵堅固系統(tǒng)的康莊大道。攻擊者并沒有嘗試滲透15層防火墻、3個數(shù)據(jù)單向保護(hù)設(shè)備和入侵檢測系統(tǒng);而是直接通過感染了具備訪問現(xiàn)場權(quán)限的軟目標(biāo)即設(shè)備供應(yīng)商。雖然設(shè)備供應(yīng)商也很重視他們的網(wǎng)絡(luò)安全,但是他們必然無法與Natanz工廠的保護(hù)措施相比。感染設(shè)備供應(yīng)商的移動設(shè)備和U盤被證明足夠好,因為他們早晚會帶著這些設(shè)備進(jìn)入工業(yè)現(xiàn)場,并接入到Natanz工廠的核心系統(tǒng)中,很輕松的通過安全檢查。(譯者注:感染病毒的筆記本和USB,通過殺毒軟件在當(dāng)時根本就查不出來,所以,當(dāng)時只要接入伊朗的系統(tǒng)中,就必然中招)
任何后來的攻擊者當(dāng)他們想攻擊堅固系統(tǒng)時,都會考慮這種攻擊方法。在全球范圍內(nèi)清醒的現(xiàn)實是,幾乎每一個工業(yè)或者軍事設(shè)施所使用的工業(yè)控制系統(tǒng)在一定程度上依賴其供應(yīng)商網(wǎng)絡(luò),而這些供應(yīng)商,精于其業(yè)務(wù),而疏于網(wǎng)絡(luò)安全。雖然工業(yè)控制系統(tǒng)信息安全專家已經(jīng)討論了很多年的內(nèi)部安全風(fēng)險,這些圈內(nèi)人的討論無意間幫助了黑客部署了網(wǎng)絡(luò)攻擊武器–震網(wǎng)病毒。
雖然震網(wǎng)病毒是一個國家工程,因為需要大量的資源和相當(dāng)高的智慧,但是未來面向工業(yè)控制系統(tǒng)或者“信息物理系統(tǒng)”(Cyber-physical System)的攻擊可能不再是國家工程。由于攻擊者自我強加的約束條件,即破壞設(shè)備的同時還要讓對方認(rèn)為這僅僅是設(shè)備可靠性問題,開發(fā)震網(wǎng)病毒付出了很大的代價。我個人估算,超過50%的工作是用來開發(fā)震網(wǎng)病毒的隱藏攻擊行為上,投入了大量的資金在“復(fù)雜功能”上,使得“復(fù)雜功能”一方面在進(jìn)行增加壓力攻擊的同時還要偽裝成一切工作正常的樣子。這一投入還包括建立IR-1型離心機樣機的全功能級聯(lián)保護(hù)系統(tǒng),該系統(tǒng)使用了真正的六氟化鈾。(譯者注:下的本兒夠大的,建一套高仿的IR-1型全套系統(tǒng)成本肯定不小。)從震網(wǎng)病毒上獲取靈感的攻擊者并不需要將如此大的精力花費在行為偽裝上,他們可能希望受害者知道自己正遭受網(wǎng)絡(luò)攻擊,并以此來炫耀自己。
與震網(wǎng)病毒的攻擊者不同,這些人(譯者注:指從震網(wǎng)病毒上獲取靈感的攻擊者)可能將目標(biāo)定位到民用關(guān)鍵基礎(chǔ)設(shè)施上。這些系統(tǒng)不但更容易被訪問,而且還是標(biāo)準(zhǔn)化的。運行在發(fā)電廠或者化工廠的某個系統(tǒng),可能與下一家工廠的系統(tǒng)配置的十分的相似。(譯者注:確實如此,甚至幾大工控廠商的產(chǎn)品,都有一定的相似度。)事實上,所有新式的工廠,都采用了標(biāo)準(zhǔn)工業(yè)控制系統(tǒng)架構(gòu),采用的設(shè)備都是來自這個行業(yè)里的少數(shù)幾個供應(yīng)商,采取的工控系統(tǒng)配置都相似甚至完全一樣。(譯者注:工控系統(tǒng)全套設(shè)備的供應(yīng)商,全球就那么幾家,細(xì)分行業(yè)后更少。)換句話說,如果你控制了一套工業(yè)控制系統(tǒng),你可以滲透幾十個甚至上百個相同系列的工業(yè)控制系統(tǒng)。
縱觀這兩個版本的震網(wǎng)病毒,有一條最終線索(在這場表象的攻擊過程中,幕后隱藏著更為重大的事情)。在這場攻擊的奧運會(Operation Olympic Games,多年的針對伊朗核計劃的在線間諜活動和蓄謀破壞行動)中,顯然包含了比開發(fā)和部署病毒程序(雖然病毒程序很精妙)更多的內(nèi)幕。這不僅僅是一場攻擊,而是一場戰(zhàn)役,而且這場戰(zhàn)役的重點在執(zhí)行過程中發(fā)生了顯著的改變。
當(dāng)我的同事和我在2010年第一次分析這兩個版本的攻擊,我們最初認(rèn)為這兩個版本的攻擊是同時進(jìn)行的,也許其目的是想增加轉(zhuǎn)子轉(zhuǎn)速的同時使級聯(lián)保護(hù)系統(tǒng)失效。這被證明是錯誤的,從過代碼可以發(fā)現(xiàn),這兩個版本的攻擊并未協(xié)作。然后我們認(rèn)為用來攻擊離心機驅(qū)動系統(tǒng)的病毒(譯者注:“簡單版本”)是是簡單的并且是先于“復(fù)雜版本”出現(xiàn)的。(“復(fù)雜版本”用來攻擊級聯(lián)保護(hù)系統(tǒng)。) 針對級聯(lián)保護(hù)系統(tǒng)的攻擊表現(xiàn)出了十足的網(wǎng)絡(luò)能力(“CyberPower”),表面上看該攻擊是基于“簡單版本”的基礎(chǔ)上開發(fā)出來的。幾年后,發(fā)現(xiàn)我們想反了,原來“復(fù)雜版本”竟然先于“簡單版本”出現(xiàn)。那么為什么攻擊者會轉(zhuǎn)向“簡單版本”呢?
這兩個版本的巨大差異,表明改變攻擊重點很可能是因為利益相關(guān)者發(fā)生了變化。通過技術(shù)分析表明,當(dāng)攻擊者嘗試以新的方式搞亂Natanz的業(yè)務(wù)時,攻擊者關(guān)心的首要問題已經(jīng)不再是攻擊被人發(fā)現(xiàn)的問題了。關(guān)注重點的轉(zhuǎn)移可能助長了一個簡單的見解:核擴散來了又走了,但是網(wǎng)絡(luò)戰(zhàn)卻留下來了。這場攻擊的奧運會(Operation Olympic Games)開啟了一場不可預(yù)知結(jié)果的實驗。沿著這條路,一個結(jié)果變得清晰,即“數(shù)字武器”出現(xiàn)了。與“模擬武器”不同,它們并未通過軍隊來產(chǎn)生傷害,他們產(chǎn)生的附加傷害很少,它們可以被偷偷的部署,并且非常的便宜。這個打開的潘多拉盒子所產(chǎn)生的影響已經(jīng)遠(yuǎn)遠(yuǎn)超過伊朗本身,它使得20世紀(jì)的暴力戰(zhàn)爭看起來技術(shù)含量很低而且很殘酷。
換句話說,鼓吹這場在線的破壞戰(zhàn)役有附加的好處。隨著震網(wǎng)病毒的披露,這場攻擊的已結(jié)束,但是并未結(jié)束它的影響。五角大樓采用了不同于傳統(tǒng)的硬件,它不能顯示USB驅(qū)動器。震網(wǎng)病毒的啟示向世界展示了在一個世界超級大國手中的網(wǎng)絡(luò)武器可以做哪些事情。它當(dāng)然使得美國免于尷尬,如果另外一個國家或者一個對手在數(shù)字領(lǐng)域率先展示出如此精妙的技術(shù),那將是美國歷史上另一個不折不扣的斯普特尼克時刻。(譯者注:斯普特尼克時刻是人們認(rèn)識到自己受到威脅和挑戰(zhàn),必須加倍努力,迎頭趕上。它來自當(dāng)時蘇聯(lián)發(fā)射的第一顆人造地球衛(wèi)星“斯普特尼克”一號,此舉擊敗了美國,率先進(jìn)入太空。)
我們并不確定震網(wǎng)病毒是否是被故意披露的,由于有如此多的人參與,它的一個意想不到的副作用竟然最終成為了關(guān)鍵。有一件事我們必須知道:震網(wǎng)病毒改變了21世紀(jì)的全球軍事戰(zhàn)略。
