砺道智库 2024-02-29 09:00 北京

据美媒2月27日报道，2010年，伊朗1000多台离心机在没有任何明显原因的情况下毁坏。Stuxnet，正如分析师对这种恶意软件的命名，发动了网络袭击，其目的是延缓德黑兰发展核武器的进程。

Stuxnet是迄今为止最复杂的网络攻击，它在几年内感染了伊朗系统，很可能从2007年开始。攻击者针对纳坦兹的伊朗核设施部署了多个版本的恶意软件。有两个版本脱颖而出，一个是2007年的版本，另一个是2009年的版本。有趣的是，在操作过程中，同一恶意软件的这两个版本之间的策略发生了重大变化。

网络攻击行动代号为“奥林匹克运动会”，其原因或许是因为有多个国家参与了该行动，包括美国、以色列、德国、法国和荷兰。

奥运行动主要参与国是美国和以色列。2007年的某个时候，纳坦兹核设施的伊朗系统感染了Stuxnet。一年前，伊朗与美国和欧盟之间的谈判失败。结果，德黑兰在纳坦兹设施恢复了铀浓缩过程，安装了第一批浓缩铀和生产核弹头武器级材料所需的离心机。

一切都始于一个灯塔。攻击者创建了一个信标，可以收集纳坦兹核设施的信息并绘制出其网络图。然后，有意或无意的人员将信标带入设施。攻击者现在可以根据震网运行的确切条件来设计和测试震网。

网络攻击一波又一波地袭来。攻击者在2007年至2008年间交付了第一个有效负载。恶意软件的第一个版本通过USB驱动器传播。报道称，荷兰外国情报机构AIVD与美国中央情报局和以色列摩萨德密切合作，成功招募了一名有权进入纳坦兹核设施的伊朗工程师。他携带了一个损坏的USB闪存驱动器。该驱动器首先将Stuxnet放入伊朗系统中。该特工随后多次访问纳坦兹核设施，使攻击者能够更好地调整他们的方法。使用代理凸显了网络只是另一个情报和战争领域，与其他学科结合使用时效果最佳。

Stuxnet的后续版本可以在没有物理访问的情况下在设施内的计算机和网络之间传播。该恶意软件总共使用了至少八种传播方法。攻击者显然希望确保Stuxnet穿过气隙以确保安全并到达珍贵的离心机。

一旦到位，震网就会利用伊朗计算机Windows操作系统中的多个零日漏洞（尚未修补的已知安全漏洞）来获得提升的权限并执行其有效负载。它总共利用了至少六个零日漏洞，其中四个位于操作系统中。

Stuxnet将自身安装为rootkit，以使其更难以检测和允许后门功能。攻击者还使用从台湾半导体公司Realtek窃取的有效数字证书，使Stuxnet的组件看起来合法。为了不被发现并逃避安全扫描，该恶意软件使用了多种先进技术，包括代码混淆和反虚拟机技术。然后，Stuxnet开始利用Windows漏洞传播到其他计算机和网络。

攻击者寻求持续参与，并使用多种方法与恶意软件进行通信，包括加密通信通道和域生成算法。恶意软件在目标上停留的时间越长，被网络防御者发现的风险就越高。然而，尽管该行动背后的风险极高，但攻击者似乎对他们的间谍技术和Stuxnet的能力非常有信心，能够承担保持持续交战的风险。

在指挥和控制方面，Stuxnet再次领先于时代。该网络武器不仅可以向指挥和控制服务器报告其在伊朗计算机和网络中的进展：它还可以下载恶意软件的升级版本。当恶意软件的新版本感染了已经受到损害的机器时，两个版本会协同工作，更新旧版本并向操作员反馈信息。通过这种持续的通信，攻击者可以很好地了解哪些机器和网络已被感染。

尽管多年来该恶意软件出现了多种不同的变体，但其中最重要的两个是2007年和2009年的版本。

2007年版本的震网病毒利用了伊朗人在其工业控制系统中使用的西门子Step7软件和西门子WinCCSCADA系统中的漏洞来控制珍贵的离心机。然后，恶意软件开始操纵工业控制系统中的可编程逻辑控制器，增加从离心机流出的气体压力，并使过程发生故障。这些工业控制系统管理和控制该计划所需的离心机。离心机是一种通过高速旋转分离铀同位素的装置，可以生产用于核能和武器生产的浓缩铀。伊朗科学家并不知道看似随机事故或不良科学的事情实际上是网络攻击的结果。

然而，2009年，攻击者改变了策略。新版本的恶意软件针对每台离心机核心的转子并操纵其速度。攻击者让离心机以极高或极低的速度旋转，导致秘密核设施内发生灾难。然而，伊朗科学家仍然不明白他们受到了攻击。伊朗人认为，他们在纳坦兹核设施周围设置了重要的网络和物理保障和防御措施，以确保任何事情（包括计算机网络攻击）都无法破坏其核武器野心。然而，2009年版本的恶意软件更具攻击性，并传播到伊朗纳坦兹核设施之外。

至关重要的是，Stuxnet是精确制导导弹的网络版本——只有在找到合适的网络条件和设备时，它才会释放其有效载荷。如果恶意软件没有找到合适的条件，它就会保持休眠状态。此外，还有一个内置的自毁机制，可以让恶意软件在2012年6月24日之后自我毁灭。

2010年夏天，VirusBlokAda，一家相当不起眼的白俄罗斯反病毒公司，第一个发现了Stuxnet的存在。他们在检查一台被恶意软件感染的伊朗机器时这样做了。这家东欧公司迅速向其他网络安全分析师发出警报，从而传播了Stuxnet的消息。

最终，尘埃落定后，Stuxnet成功摧毁了纳坦兹核设施内约1,000台离心机。伊朗一下子就丧失了大约20%的铀浓缩能力，使德黑兰的核武器计划倒退了好几年。