震网
震网(Stuxnet),又称作超级工厂,是一种Windows平台上的计算机蠕虫,2010年6月首次被白俄罗斯安全公司VirusBlokAda发现,其名称是从代码中的关键字得来,它的传播从2009年6月或更早开始,首次大范围被报道的是Brian Krebs的安全博客。它是首个针对工业控制系统的蠕虫病毒,[1]利用西门子公司控制系统(SIMATIC WinCC/Step7)存在的漏洞感染数据采集与监控系统(SCADA),[2]能向可编程逻辑控制器(PLC)写入代码并将代码隐藏。[3]这次事件是有史以来第一个包含PLC Rootkit的电脑蠕虫,[4]也是已知的第一个以关键工业基础设施为目标的蠕虫。[5]此外,该蠕虫的可能目标为伊朗使用西门子控制系统的高价值基础设施。[6][7]据报道,该蠕虫病毒可能已感染并破坏了伊朗纳坦兹的核设施,[8][9]并最终使伊朗的布什尔核电站推迟启动。[10]不过西门子公司表示,该蠕虫事实上并没有造成任何损害。[11]
赛门铁克安全响应中心高级主任凯文·霍根(Kevin Hogan)指出,约60%的被感染的个人电脑在伊朗,这意味着其目标是当地的工业基础设施。[12]俄罗斯安全公司卡巴斯基实验室发布了一个声明,认为Stuxnet蠕虫“是一种十分有效并且可怕的网络武器原型,这种网络武器将导致世界上新的军备竞赛,一场网络军备竞赛时代的到来。”并认为“除非有国家和政府的支持和协助,否则很难发动如此规模的攻击。”伊朗成为了真实网络战的第一个目标。[13][14][15][16]
历史
2010年6月中旬,该病毒首次由安全公司VirusBlokAda发现,其根源可追溯到2009年6月。[3]Stuxnet蠕虫的最终编译时间约为2010年2月3日。[17]
2012年,《紐約時報》報導,美國官員承認這個病毒是由美國國家安全局在以色列協助下研發,以奧林匹克網路攻擊行動為計劃代號,目的在於阻止伊朗發展核武[18]。
活动
Stuxnet同时利用微软和西门子公司产品的7个最新漏洞进行攻击。这7个漏洞中,MS08-067、MS10-046、MS10-061、MS10-073、MS10-092等5个针对Windows系统(其中MS10-046、MS10-061、MS10-073、MS10-092四个属于0day漏洞),2个针对西门子SIMATIC WinCC系统。[19][13]
它最初通过感染USB闪存驱动器传播,然后攻击被感染网络中的其他WinCC计算机。一旦进入系统,它将尝试使用默认密码来控制软件。[3]但是,西门子公司不建议更改默认密码,因为这“可能会影响工厂运作。”[20]
该蠕虫病毒的复杂性非常罕见,病毒编写者需要对工业生产过程和工业基础设施十分了解。[1][3]利用Windows的零日漏洞数量也不同寻常,因为Windows零日漏洞的价值,黑客通常不会浪费到让一个蠕虫同时利用四个漏洞。[6]Stuxnet的体积较大,大约有500KB,[21]并使用了数种编程语言(包括C语言和C++),通常恶意软件不会这样做。[1][3]Stuxnet还通过伪装成Realtek与JMicron两家公司的数字签名,以绕过安全产品的检测并在短期内不被发现。[21][22]它也有能力通过P2P传播。[21][23]这些功能将需要一个团队,以及检查恶意软件不会使PLC崩溃。在西门子系统维护和故障排除方面拥有多年的经验的埃里克·拜尔斯(Eric Byres)告诉《连线》,编写这些代码需要很多人工作几个月,甚至几年。[21]這樣大費周章的設計,也是該軟體被懷疑有軍事背景的因素。
移除
西门子公司已经发布了一个Stuxnet的检测和清除工具。西门子建议检测到感染的客户联系客户支持,并建议客户安装微软的漏洞补丁并禁用第三方USB设备。[24]
该蠕虫病毒可重新编程外部可编程逻辑控制器(PLC)的能力使得移除过程变得更为复杂。赛门铁克的Liam O'Murchu警告说,仅修复Windows系统可能无法完全解决感染问题,他建议全面检查PLC。此外据推测,错误地移除该蠕虫可导致大量损失。[25]
受影响的国家
赛门铁克的研究表明,截至2010年8月6日,受影响的国家主要有:[26]
国家 | 受感染电脑比例 |
---|---|
伊朗 | 58.85% |
印度尼西亚 | 18.22% |
印度 | 8.31% |
阿塞拜疆共和国 | 2.57% |
美国 | 1.56% |
巴基斯坦 | 1.28% |
其他国家 | 9.2% |
参见条目
参考文献
- ^ 1.0 1.1 1.2 Robert McMillan. Siemens: Stuxnet worm hit industrial systems. Computerworld. 16 September 2010 [16 September 2010]. (原始内容存档于2012年5月25日).
- ^ Iran's Nuclear Agency Trying to Stop Computer Worm. Tehran: Associated Press. 2010-09-25 [2010-09-25]. (原始内容存档于2010-09-25).
- ^ 3.0 3.1 3.2 3.3 3.4 Gregg Keizer. Is Stuxnet the 'best' malware ever?. Infoworld. 16 September 2010 [16 September 2010]. (原始内容存档于2012年12月5日).
- ^ Last-minute paper: An indepth look into Stuxnet. Virus Bulletin. [2010-10-08]. (原始内容存档于2016-02-03).
- ^ Stuxnet worm hits Iran nuclear plant staff computers. BBC News. [2010-10-08]. (原始内容存档于2021-04-14).
- ^ 6.0 6.1 Fildes, Jonathan. Stuxnet worm 'targeted high-value Iranian assets'. BBC News. 2010-09-23 [2010-09-23]. (原始内容存档于2021-04-14).
- ^ Stuxnet virus: worm 'could be aimed at high-profile Iranian targets’. The Daily Telegraph. 2010-09-23 [2010-09-28]. (原始内容存档于2021-04-14).
- ^ Ethan Bronner & William J. Broad. In a Computer Worm, a Possible Biblical Clue. NYTimes. 2010-09-29 [2010-10-02]. (原始内容存档于2021-04-15).
- ^ Iran Confirms Stuxnet Damage to Nuclear Facilities. Tikun Olam. 2010-09-25 [2010-09-28]. (原始内容存档于2012-03-04).
- ^ Software smart bomb fired at Iranian nuclear plant: Experts. Economictimes.indiatimes.com. 2010-09-24 [2010-09-28]. (原始内容存档于2021-11-14).
- ^ ComputerWorld. Siemens: Stuxnet worm hit industrial systems. Computerworld. September 14, 2010 [3 October 2010]. (原始内容存档于2013-12-15).
- ^ 存档副本. [2010-10-08]. (原始内容存档于2021-04-14).
- ^ 13.0 13.1 卡巴斯基实验室深度分析Stuxnet蠕虫. Kaspersky Lab. 2010年9月25日 [2010年10月8日]. (原始内容存档于2010年9月29日).
- ^ 存档副本. [2010-10-08]. (原始内容存档于2010-11-20).
- ^ 存档副本. [2010-10-08]. (原始内容存档于2010-09-29).
- ^ http://www.mymacaddress.com/iran-first-victim-of-cyberwar/[永久失效連結]
- ^ Aleksandr Matrosov, Eugene Rodionov, David Harley, and Juraj Malcho. Stuxnet under the microscope (PDF). [24 September 2010]. (原始内容 (PDF)存档于2010年10月3日).
- ^ 陳曉莉. 報導:美國政府涉及開發與散布Stuxnet蠕蟲. iThome. [2012-06-04]. (原始内容存档于2013-07-31).
- ^ 计算机病毒预警:当心U盘传播Stuxnet病毒. 中国政府网. 2010年9月27日 [2010年10月8日]. (原始内容存档于2016年9月20日).
- ^ Tom Espiner. Siemens warns Stuxnet targets of password risk. cnet. 20 July 2010 [17 September 2010]. (原始内容存档于2011-01-09).
- ^ 21.0 21.1 21.2 21.3 Kim Zetter. Blockbuster Worm Aimed for Infrastructure, But No Proof Iran Nukes Were Target. Wired. 2010-09-23 [2010-09-24]. (原始内容存档于2012-12-17).
- ^ Kaspersky Lab provides its insights on Stuxnet worm. Kaspersky Lab. 2010-09-24 [2010-09-27]. (原始内容存档于2016-03-04).
- ^ Liam O Murchu. Stuxnet P2P component. Symantec. 2010-09-17 [2010-09-24]. (原始内容存档于2019-01-17).
- ^ SIMATIC WinCC / SIMATIC PCS 7: Information concerning Malware / Virus / Trojan. Siemens. [24 September 2010]. (原始内容存档于2014-11-29).
- ^ Siemens: Stuxnet Worm Hit Industrial Systems. IDG News. [2010-10-09]. (原始内容存档于2012-07-28).
- ^ Factbox: What is Stuxnet?. [30 September 2010]. (原始内容存档于2020-12-07).
- ^ "Iran denies hacking into American banks (页面存档备份,存于互联网档案馆)" Reuters, 23 September 2012
外部链接
- Siemens - Industry Automation and Drive Technologies - Service& Support - SIMATIC WinCC / SIMATIC PCS 7: Information concerning Malware / Virus / Trojan
- Stuxnet Under the Microscope, an analysis of Stuxnet white paper, ESET
- Security analysis of Stuxnet (页面存档备份,存于互联网档案馆)
- Exploring Stuxnet’s PLC Infection Process (页面存档备份,存于互联网档案馆), Symantec
- Super Nuclear Worm Invades Kazakhstan - Hollywood Salivates
- Stuxnet Questions and Answers (页面存档备份,存于互联网档案馆), F-Secure
- Stuxnet: Fact vs. theory[失效連結] by Elinor Mills for CNET News October 5, 2010
- Stuxnet: Cyber Attack on Iran (页面存档备份,存于互联网档案馆) - PressTV video