中國上千家工廠正遭遇一種新的隱蔽威脅,。一種名叫“Stuxnet”的超級計算機(jī)病毒,,開始控制被感染的工廠,,并造成生產(chǎn)事故或停工,,專家表示,,病毒的大規(guī)模爆發(fā)可能影響中國經(jīng)濟(jì)復(fù)蘇前景,。
該病毒專門攻擊工業(yè)系統(tǒng)中采用西門子公司生產(chǎn)的SIMATIC WinCC監(jiān)控與數(shù)據(jù)采集 (SCADA) 系統(tǒng)的設(shè)備,病毒目前通過極其隱蔽的技術(shù)手法快速傳播,同時對感染的工業(yè)設(shè)備進(jìn)行重編程,,奪取控制權(quán)后實現(xiàn)對工業(yè)生產(chǎn)關(guān)鍵設(shè)備的自毀或破壞,。
4Stuxnet”是全球首個能攻擊現(xiàn)實世界的病毒。中國大陸目前已經(jīng)有上千家中國工廠以及一些大型工業(yè)行業(yè)的龍頭企 業(yè)已經(jīng)遭受攻擊破壞,,但它拒絕透露客戶名單,。由于中國制造工業(yè)廣泛采用西門子公司的控制軟件系統(tǒng),因此潛在威脅難以估計,。
一位要求隱去姓名的專家表示,,根據(jù)“Stuxnet”的行為研究發(fā)現(xiàn),其有別于過去的計算機(jī)病毒,,原因在于,,過去的病毒只用于竊取資料或者破壞數(shù)據(jù),而“Stuxnet”有著極其嚴(yán)格的攻擊目標(biāo)和行為準(zhǔn)則,,可能是帶有某種政治意圖的超級武器,。
Stuxnet秘密身世——天生的工業(yè)殺手
最早遭受“Stuxnet”攻擊并大規(guī)模爆發(fā)的地區(qū)是伊朗。
一份“Stuxnet”病毒感染量統(tǒng)計數(shù)據(jù)顯示,,伊朗是“Stuxnet”突然爆發(fā)并遭受攻擊數(shù)量最早最多的國家,,由于伊朗是一個相對封閉的國家,對全球的互聯(lián)網(wǎng)接入有非常嚴(yán)格的措施,,數(shù)據(jù)在統(tǒng)計意義上來說有顯著意義證明該病毒的傳播性是精心策劃的,,顯然“Stuxnet”在伊朗的發(fā)作是有備而來的,,它繞過了數(shù)層物理安全防范,。
伊朗工業(yè)部門的信息技術(shù)官員馬哈茂德•阿勒阿伊曾對伊朗媒體表示,隸屬伊朗工業(yè)部門的3萬臺電腦已經(jīng)被該病毒感染,,病毒將許多伊朗工業(yè)系統(tǒng)的機(jī)密數(shù)據(jù)傳至國外,。阿勒阿伊稱,這是一場針對伊朗的網(wǎng)絡(luò)戰(zhàn),。
“Stuxnet”這種超級病毒,,不僅造成伊朗全國6成以上個人電腦感染了這種病毒,更可能是導(dǎo)致了伊朗核電站推遲發(fā)電計劃的元兇,。
一位工業(yè)計算機(jī)專家表示,,“Stuxnet”的編寫者非常精通工業(yè)控制過程并予以手術(shù)刀式的攻擊,從而使得系統(tǒng)自行損壞,,這是一般計算機(jī)病毒編寫者所難以企及的,,這表明Stuxnet顯然有能力毀滅伊朗制造核能力的關(guān)鍵工業(yè)設(shè)備。
伊朗布什爾核電站位于伊朗南部港口城市布什爾附近,,設(shè)計裝機(jī)容量1000兆瓦,。核電站建設(shè)項目始于上世紀(jì)70年代,在1979年伊朗爆發(fā)伊斯蘭革命后中斷運(yùn)作。1996年2月,,布什爾核電站在俄羅斯的幫助下開始復(fù)建,。2009年2月底,核電站進(jìn)入測試運(yùn)行階段,。
雖然,,伊朗核電站的項目經(jīng)理默罕默德•賈法里此前表示,核電站的主要系統(tǒng)沒有受到該病毒影響,,只是一些核電站工作人員的個人電腦感染了病毒,。但此說法受到廣泛懷疑。
德國GSMK公司首席科技官則透露了一份數(shù)據(jù),,數(shù)據(jù)顯示Stuxnet病毒大約在2009年1月左右大規(guī)模感染伊朗國內(nèi)相關(guān)計算機(jī)系統(tǒng),,他推測 Stuxnet目標(biāo)對位于伊朗納坦茲的鈾濃縮工廠以及相關(guān)設(shè)施發(fā)起攻擊是大概率事件。而據(jù)“維基解密”網(wǎng)站爆料,,2009年7月伊朗的納坦茲鈾濃縮工廠曾 發(fā)生“嚴(yán)重”核事故,,不明技術(shù)原因使得伊朗濃縮鈾產(chǎn)量離奇下跌。
事件之后,,這個由俄羅斯興建的核電站在今年也突然未能如期運(yùn)作,,原計劃2010年8月核電站反應(yīng)堆計劃開始裝載核燃料,10月正式發(fā)電,。令人意外的是,,伊 朗當(dāng)局當(dāng)時對外宣布由于“酷熱天氣”原因,核電廠需要押后全面運(yùn)作,。相關(guān)專家認(rèn)為,,核電廠顯然是因突發(fā)性技術(shù)問題而延誤運(yùn)作。
以色列記者羅納•伯格曼曾撰寫《與伊朗的秘密戰(zhàn)爭》一書,。伯格曼在書中透露,,如果不是美國和以色列方面早已發(fā)動了旨在遲滯伊朗核項目的“秘密戰(zhàn)爭”,否則伊朗的核武研發(fā)項目早已實現(xiàn)了突破,。
書中列舉,,以色列曾通過歐洲公司向伊朗出售一些工業(yè)變電器,通過某種操控該設(shè)備能在瞬間產(chǎn)生數(shù)萬伏高壓電,。而在過去幾年中,,伊朗多處核設(shè)施發(fā)生供電事故。而以色列新聞網(wǎng)站Ynetnews.com去年曾引述以色列前內(nèi)閣成員稱,,牽制伊朗核計劃的唯一可行方法,,就是利用計算機(jī)惡意軟件發(fā)動網(wǎng)絡(luò)攻擊。
這些事件的揭露和行為最后將“Stuxnet”真正推向了前臺,。
Stuxnet擁有手術(shù)刀式的精確打擊能力
Stuxnet病毒的傳播和破壞性特征與普通病毒有較大差異,。與目前大多數(shù)利用互聯(lián)網(wǎng)傳播的病毒不同:Stuxnet主要通過U盤和局域網(wǎng)進(jìn)行傳播,,而專門針對西門子公司的SIMATIC WinCC監(jiān)控與數(shù)據(jù)采集 (SCADA) 系統(tǒng)進(jìn)行自毀性破壞。
它通過對軟件重新編程實施攻擊,,給機(jī)器編一個新程序或輸入潛伏極大風(fēng)險的指令,。專家指出,病毒能控制關(guān)鍵過程并開啟一連串執(zhí)行程序,,最終導(dǎo)致整個系統(tǒng)自我毀滅,。
西門子公司的SIMATIC WinCC監(jiān)控與數(shù)據(jù)采集 (SCADA) 系統(tǒng)被用來進(jìn)行鋼鐵、電力,、能源,、化工、通信,、機(jī)場等重要行業(yè)的人機(jī)交互與監(jiān)控,,一旦攻擊成功,則可能造成使用這些企業(yè)運(yùn)行各種異常,,造成商業(yè)資料失竊,、停工停產(chǎn)等嚴(yán)重事故。
由于安裝SIMATIC WinCC系統(tǒng)的電腦一般會與互聯(lián)網(wǎng)物理隔絕,,專家表示,,病毒開發(fā)者特意強(qiáng)化了病毒的U盤、局域網(wǎng)的隱藏傳播能力,。
該病毒通過偽裝RealTek與JMicron兩大公司的數(shù)字簽名能夠繞過普通的安全產(chǎn)品監(jiān)測,,利用包括MS10-046、MS10-061,、MS08-067等5個最新漏洞進(jìn)行傳播,,并利用2個是針對西門子SIMATIC WinCC系統(tǒng)漏洞進(jìn)行攻擊。
企業(yè)如果沒有針對U盤等可移動設(shè)備進(jìn)行嚴(yán)格管理,,導(dǎo)致有人在局域網(wǎng)內(nèi)使用了帶毒U盤,,則整個網(wǎng)絡(luò)都會被感染,。美國國家網(wǎng)絡(luò)安全與通訊整合中心主管邁格克指 出,,在受感染的系統(tǒng)里面Stuxnet一旦找到西門子WinCC裝置,就能接管西門子設(shè)施的關(guān)鍵操作系統(tǒng),,并在十分之一秒里“控制”設(shè)備的操作,,這顯示了 一種“預(yù)謀”。
卡巴斯基這家安全公司的研究顯示,,“Stuxnet”病毒研發(fā)者對工業(yè)控制系統(tǒng)軟件十分精通,,采用了多層攻擊技術(shù),絕非等閑之輩,。由于工業(yè)控制系統(tǒng)許多關(guān) 鍵部件源代碼被視為商業(yè)機(jī)密,,除非擁有可觀的政治力量和資金能力,,普通人難以獲得這樣的研究以及開發(fā)能力,他推測認(rèn)為Stuxnet的出現(xiàn)可能是政府行 為,。
歷史上在2007年,,以色列空軍打擊敘利亞在建的疑似核設(shè)施就啟動了類似的攻擊方法。后來歐洲工業(yè)界的消息人士透露,,以色列當(dāng)時激活了嵌入敘利亞防空雷達(dá) 中的關(guān)鍵裝置,,令雷達(dá)關(guān)機(jī),為空襲提供了方便,。當(dāng)然美國前美情報官員也曾透露,,美國家安全局代號為“8200”的部門暗中協(xié)助破壞了敘利亞的防空系統(tǒng)。
德國網(wǎng)絡(luò)安全研究員拉爾夫•朗納已經(jīng)破解了Stuxnet的編碼,,并將之公布于眾,。他堅信Stuxnet被設(shè)計出來,就是為了尋找工業(yè)基礎(chǔ)設(shè)施并破壞其關(guān)鍵部分,。他說,,這是一種百分之百直接面向現(xiàn)實世界中工業(yè)程序的網(wǎng)絡(luò)攻擊,它絕非所謂的間諜病毒,,而是純粹的破壞病毒,。
朗納表示,Stuxnet病毒的高端性,,意味著只有一個“國家”才能把它開發(fā)出來,。根據(jù)我們所掌握的計算機(jī)法醫(yī)方面證據(jù),它的意圖很明顯,,就是執(zhí)行破壞性 攻擊,,毀掉大量的內(nèi)部信息,“這并非某個坐在父母家里的地下室里的駭客能干得出來的,,這種攻擊的來源指向的是一個國家,。Stuxnet很可能已經(jīng)攻擊了它 的目標(biāo),只不過我們還沒有接到消息而已,�,!�
Stuxnet的下一個目標(biāo):中國工業(yè)
西門子是中國工業(yè)計算機(jī)最大的海外供應(yīng)商之一。由于西門子公司開發(fā)的類似系統(tǒng)在中國的多個重要行業(yè)如能源,、電力,、通信、交通等領(lǐng)域應(yīng)用廣泛,,就目前的傳播速度來看,,Stuxnet同樣對中國基礎(chǔ)工業(yè)擁有強(qiáng)大攻擊意圖。
專家透露,,從編寫手法上看,,此病毒還有很大的改進(jìn)余地,,國內(nèi)目前許多掌管國民經(jīng)濟(jì)命脈的大型企業(yè)存在安全制度上的缺失,如果Stuxnet再衍生出同樣機(jī)制的復(fù)雜病毒變種,,類似的攻擊對中國工業(yè)將會產(chǎn)生難以估量的打擊,,其破壞性不亞于經(jīng)濟(jì)危機(jī)。
另據(jù)新華社參考消息報道,,“過去幾天該病毒已感染六百萬部電腦,,影響近一千家工廠及工業(yè)設(shè)施,對中國的攻擊源頭服務(wù)器可能來自美國”,。從目前報道的數(shù)據(jù)來 看,,由于許多采用該系統(tǒng)的企業(yè)都在涉及國家命脈的關(guān)鍵行業(yè),因此無法獲知準(zhǔn)確數(shù)據(jù),。和訊科技為此連線了一些外圍的民用工業(yè)領(lǐng)域的公司,。
南車集團(tuán)對和訊科技獨(dú)家回應(yīng)表示,集團(tuán)內(nèi)部尚未發(fā)現(xiàn)類似破壞性攻擊,,但已經(jīng)做好了相應(yīng)的防范措施,。而作為汽車基礎(chǔ)工業(yè)產(chǎn)業(yè)鏈上的杭齒集團(tuán)也向和訊科技透露,公司的確采用了西門子相關(guān)設(shè)備,,但是執(zhí)行了嚴(yán)格的安全性措施,,目前并未發(fā)現(xiàn)類似攻擊存在。
此外,,西門子在香港的客戶港鐵,、中華電力表示,西門子已聯(lián)絡(luò)他們,,告知其系統(tǒng)未受影響,。但是內(nèi)地該系統(tǒng)的使用情況,西門子并未公開回應(yīng),。西門子相關(guān)負(fù)責(zé)人對媒體表示,,可以先發(fā)送相關(guān)采訪需求,需要進(jìn)行研究討論后再做解釋,。
西門子的軟件漏洞知道Stuxnet在伊朗發(fā)生攻擊后,,才被世人所知,外資公司對工業(yè)經(jīng)濟(jì)的滲透,,絕非西門子一家,。這個技術(shù)漏洞也對中國國家安全構(gòu)成史無前例的潛在威脅,。
目前Stuxnet在中國對工業(yè)基礎(chǔ)設(shè)備的具體破壞程度尚未獲知,,但是每個人不得不警惕,這種外資公司主導(dǎo)的滲透于中國工業(yè)經(jīng)濟(jì)命脈中的項目還有多少,,這其中有多少隱藏的殺手恐怕還無人知曉,,但是哪怕只有一個爆發(fā),,對中國某些領(lǐng)域?qū)菤缧缘拇驌簟?/td> |
發(fā)表于 2010-10-3 13:55:16
QQ好友和群
收藏
淘帖
問題專業(yè),,描述清楚
伸手黨/灌水/看不懂
發(fā)表于 2010-10-5 09:52:42
