记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

独家连载 | 零日漏洞:震网病毒全揭秘(第十七章)

2015-12-06 09:05

640.webp

第十七章 离心机之谜

震网新版本上线两周前,伊朗内部一片喧嚣。2009年6月12日,一场在现任总统内贾德和挑战者穆萨维(Mir-Hossein Mousavi)之间展开的总统大选,并没有产生大多数人期望中的结果。人们本以为选举会很激烈,但是当投票结束两个半小时后,官方宣布了最终结果——内贾德以63%对穆萨维34%的优势胜选。部分选民认为有人作弊,纷纷表示抗议。第二天,愤怒的抗议人群涌向德黑兰街头,向官方表达愤慨与怀疑。据媒体报道,这是自1979年驱逐国王的革命以来,伊朗国内最大的一场抗议活动。很快,抗议示威演变成了暴力冲突。抗议者肆意破坏商店,点燃垃圾箱,警察、圣战者(Basijis)以及穿便装的国民自卫队则奋力用警棍、电棒甚至子弹驱散人群。

640.webp (5)

2009年伊朗总统大选候选人:内贾德和穆萨维

随后的星期天,内贾德发表了一席雄心勃勃的胜选演说,宣称伊朗的新时代即将到来,并把抗议者比作输红了眼的足球流氓。抗议者并未示弱,继续示威游行,直到6月19日,为了平复局面,宗教领袖哈梅内伊出面,认可了选举结果。他主张,1100万人的选票差距太大了,很难通过作弊手段取得。但他的说法,抗议者似乎并不买账。

第二天,一位名叫尼达•阿迦-苏尔坦(Neda Agha-Soltan)的26岁妇女陷入了抗议者引发的交通拥堵,正当她和她的音乐教师走下车来观察路况时,一枚来自狙击手的子弹击中了她的胸膛。

640.webp (6)

不幸遇害的尼达•阿迦-苏尔坦(Neda Agha-Soltan)

2天后,6月22日星期一,负责监督选举进程的“伊朗监管委员会”正式宣布内贾德获胜。抗议活动在持续近两周之后,突然销声匿迹,德黑兰出现了反常的平静。前两天还用催泪瓦斯和空炮弹驱赶示威者的警察们,也可以喘口气了。当天下午4:30左右,伊朗人还没来得及从前些天的恐惧与悲伤中醒过神来,震网的新版本已经完成了编译,正式上线。

虽然德黑兰的街头乱作一团,纳坦兹的技术人员却是泰然自若。他们从2009年元旦前后重新开始安装离心机,到2月底已经共完成新装离心机5400台,接近内贾德之前承诺新装6000台的目标。但只有部分离心机投入了运行。不管怎么说,整个进度还是逐步向前推进的。到6月份,新装的离心机数量增至7052台,其中4092台处于运行状态。其中,除了A24机房中的18个级联系统外,还有A26机房中的12个级联系统。另有A28机房中的7个级联系统已经抽成了真空状态,随时可以注入气体。

离心机的性能也得到了改善。伊朗低纯度浓缩铀的日产量提高了20%,并在2009年整个夏天都保持稳定。虽然之前遇到一些问题,但伊朗的低纯度铀的总产量已达839公斤,越过了实施一次核爆的技术瓶颈。如果继续保持这个速度,伊朗将在一年之内获得足够制造两枚核弹的浓缩铀。而这只是建立在纳坦兹已经安装的IR-1型离心机的基础上,估算出来的。伊朗已经在试验工厂中安装了一个IR-2型离心机的小型级联系统,一旦技术人员完成试验并开始在地下车间安装IR-2型离心机,一切就得重新计算了。1年内生产制造1枚核弹所需的浓缩铀,需要3000台IR-1型离心机,但如果把离心机换成IR-2型,则只需1200台。

提示:震网1.001版被揭露的时间,正是2009年6月底。(回看第一章)

为了让病毒进入铀浓缩工厂,攻击者首先对4家公司的计算机发起了攻击。这4家都与控制系统和某些处理过程有关,要么是生产某些产品、组装某些部件,要么是安装工业控制系统。它们都经过了精心挑选,因为它们都是纳坦兹的承包商,而且经常有员工出入纳坦兹。这为病毒的传播提供了通道。

为了让病毒更有效的传播到目标位置,与之前仅有“感染Step 7项目文件”一种传播方式的0.5版相比,震网的这个版本增加了两种传播方式。一种是通过U盘,利用Windows的Autorun功能进行传播,另一种是利用打印缓存服务中的一个零日漏洞进行传播。而卡巴斯基和赛门铁克稍后都在代码中找到了这个零日漏洞。

震网1.001版本的日志文件显示,“首位染毒者”位于一家名为弗拉德(Foolad)科技的公司。感染时间为6月23日星期二的凌晨4:40。大约一周之后,才有第二家公司遭到感染。

第二周的周一,大约5000名游行示威者安静的穿过德黑兰的街道,来到深衣(Qoba)清真寺,悼念在近期抗议活动中的遇害者。当天晚上11:20左右,震网对第二个目标百坡炯(Behpajooh)公司发动了攻击。

很容易分析为什么百坡炯公司也会遭到攻击。这是一家位于伊斯法罕的工程公司,靠近伊朗新的铀转化工厂。伊斯法罕铀转化工厂的任务是,将采掘出的铀矿转化为铀化物气体,作为纳坦兹铀浓缩的原料。同时,伊斯法罕还是伊朗核能科技中心的所在地,据信伊朗的核武器开发项目就在其中。在美国联邦法院关于伊朗非法采购活动的法庭文件中,百坡炯公司也赫然在列。

百坡炯的业务是安装、调试包括西门子公司产品在内的各种控制系统和自动化系统。公司的网站上没有提到纳坦兹,但提到了公司曾为一家伊斯法罕的钢铁厂安装过西门子S7-400型PLC,配套的Step 7和WinCC软件以及现场总线通信模块。这些设备,与震网在纳坦兹的目标设备完全一致。

在百坡炯遭攻击9天后的7月7日凌晨5点,震网攻击了尼达工业集团的计算机。同时遭到攻击的,还有一家在日志文件中被缩写为CGJ的公司,据信是高士达(Gostar Jahed)控制系统公司。这两家公司的业务都是设计、安装工业控制系统。

尼达的业务范围包括工业控制系统、精密仪器和电力系统的设计与安装,主要客户是伊朗的石油天然气行业、电厂、矿产开采与加工厂等。在2000年和2001年,公司曾为伊朗多个天然气管道项目安装过西门子S7系列PLC,也为伊斯法罕钢铁厂建筑群安装过西门子S7系统。与百坡炯一样,尼达也因参与了非法采购活动进入了“核扩散监控公司清单”,并因通过走私渠道获取微控制器和其他设备部件,位列美国法院的诉状之上。

又过了两周左右(7月22日),一名尼达公司的控制系统工程师在西门子用户论坛上发了一个帖子,抱怨自己公司的同事们遇到了一些问题。他发帖时用的名字是Behrooz,他在帖子中说公司所有计算机都遇到了相同的问题,有一个西门子Step 7系统的.DLL文件反复报错。他怀疑其中可能存在某种通过U盘传播的病毒。

他还写道,当他用西门子安装光盘重新安装Step 7,用正常的文件覆盖染毒系统中可疑文件后,一切恢复正常。但当他使用U盘在计算机间传递文件之后,问题再次出现。我们知道,U盘是震网病毒的主要传播途径。然而,尽管Behrooz和他的同事们用杀毒软件进行了扫描,却没有发现病毒。在论坛的回帖中,也没有他们及时解决该问题的迹象。

对于“在震网感染尼达等4家公司之后,又用了多久才到达最终目标”,我们并不清楚。但在6月至8月间,纳坦兹处于运行状态的离心机数量出现了下滑。那么,这一笔军功,到底是该记在震网新版本身上,还是记在遗留其中的震网0.5版本身上?我们也不知道。我们只知道,到8月底的时候,处于运行状态的离心机数量,比6月减少了328台,至4592台。问题还是出现在之前出过故障的A26机房。6月份的时候,A26机房里面共运行着12个级联系统,但到了11月,一半级联系统都处于停工状态,只剩下6个级联系统还在勉强运行。在5个月中,处于运行状态的离心机数量一共减少了984台,还剩下3936台。而且,虽然还在不断安装新的离心机,但没有1台投入运行。在A28机房里,17个级联系统已经安装就绪,但这将近3000台离心机都没有开机运转。

很明显,级联系统出状况了,技术人员却大眼瞪小眼,无从下手。然而,纳坦兹发生的这些变化,准确的反映出震网攻击的有力功效。

如前所述,震网1.001版会将离心机转子的频率升至1410赫兹(接近每小时1000英里)并保持15分钟,然后休眠3周,将频率将至2赫兹并保持50分钟。这种攻击行为循环实施几次之后,就会逐渐开始对离心机造成破坏,并影响浓缩铀气体的产量。

但奥尔布赖特和它的同事们却认为,要想把离心机转子的频率升至1410赫兹,15分钟是不够的,而且这个频率会直接对离心机造成显著破坏。因此,在这个攻击段中,实际频率大概在1324至1381赫兹之间。尽管如此,长期持续加速减速,仍会逐渐增加离心机转子的负荷与磨损。此外,突然的加速还会导致铝制离心机振幅扩大,以致失去平衡。

IR-1型离心机由于设计上的缺陷,本身非常脆弱,一点小问题就可能让它无法正常运转。比如,膛内有灰尘都可以导致离心机自毁。伊朗原子能机构(AEOI)主席阿扎加德(Gholam Reza Aghazadeh)在铀浓缩项目实施初期(2006年)接受采访时表示,IR-1型离心机经常会由于机器内部的病菌而崩溃。最初,他们完全找不到离心机爆炸的原因,直到后来终于发现,这居然是技术人员在操作时没戴手套造成的。离心机一开始高速旋转,机器上的微生物就会一点一点的将其腐蚀。他对记者说:“离心机遭到破坏的实质,是它的部件被微生物化作了粉末。”

离心机顶部装有轴承,这些轴承像是旋转的陀螺,起着稳固离心机的作用。离心机从静止状态开始运行时,加速十分缓慢,但姿态非常美丽而优雅。但一眨眼的工夫,优雅就可能变为灾难。一旦离心机开始晃动,很快就会失去控制。离心机外壳很坚固不会被摔碎,但要么会像热狗一样开裂,要么会变得弯曲,使两端的盖子迸射出去。同时,离心机内膛里的转子和其他部件也会分离、碎裂。

震网发出的加速指令所引起的晃动,会在多轮循环之后最终将轴承磨损殆尽,让离心机最终因失衡而倒塌。但由于操作人员看到的数据永远都是正常的,他们既看不到破坏发生过程,也无法在事故发生后找出其原因。

震网会在攻击的第二阶段中,将离心机运行频率降至2赫兹,并持续50分钟。这说明攻击者的另一个目标,是在破坏离心机的同时,降低浓缩铀的产量。要把一台以1064赫兹的频率高速旋转的离心机降至接近静止状态的2赫兹,需要很长一段时间。因此,据奥尔布赖特团队分析,50分钟只能将离心机频率降至864赫兹,攻击结束后再慢慢恢复正常转速。不过,只要震网能把离心机转速降低50至100赫兹,就可以使其产量减半。在铀浓缩生产进程中,离心机必须持续稳定的高速旋转,才能将含有铀235和铀238从混合气体中分离出来。如果速度下降长达50分钟,分离进程将受到严重影响。纳坦兹的技术人员本期待着从离心机中得到高品质的浓缩铀,但震网的攻击却让成品浓缩铀的品质大大降低。这部分攻击基本上没什么破坏性,也不会对推迟伊朗核计划产生特别显著的影响。但作为从另一个角度实施骚扰的攻击活动,它很适合与破坏性攻击配合使用。这个攻击阶段的实施,不仅降低了浓缩铀成品的纯度,还起到了使浓缩铀产量不再稳定的作用。在2009年2月,离心机的分离功单位是0.62,到了5月份已经降至0.49。在6月至8月间,这个数值在0.51至0.55之间波动。

回到美国。此时,ISIS的奥尔布赖特团队正在研究IAEA的报告,并从中发现了纳坦兹铀浓缩进程中的变化。考虑到技术人员在A26机房安装离心机的“疯狂速度”,看到伊朗遇到麻烦,他们一点都不惊讶。奥尔布赖特从报告中看到,纳坦兹的技术人员已经放慢了安装离心机的速度,以确定问题出在哪。但他推测,除了正常损耗和技术难题之外,一定有其他原因导致了这些问题。他专门找到美国政府和IAEA中的熟人,索要更多与这些问题有关的资料,但没有得到什么决定的结果。

进入2010年,纳坦兹处于运行状态的离心机数量进一步下滑。已安装的离心机数量为8692台,运行中的离心机只剩下3772台,比2009年6月减少了1148台。在此之前,问题仅仅出现在A26机房的离心机中,但可怕的是,A24和A28机房的离心机也开始出问题了。A24机房的级联系统中,出现了含铀气体逸出的情况。

然而,更有意思的是,技术人员开始将离心机从级联系统中断开或移除。2009年8月,IAEA在地下车间中安装了更多摄像头,来监控技术人员安装离心机的过程。但在2010年初,摄像头拍下了画面显示,技术人员正在急急忙忙的从机房中移除离心机。1月,IAEA报道,技术人员从A26机房的11个级联系统中移除了部分离心机,具体数量不明;同时,他们还移除了A28机房某级联系统中的全部164台离心机。而且,A28机房中余下的11个级联系统也没有处于运行状态。之后,《华盛顿邮报》的一篇报道中提到,在这段时间内,共有984台离心机被替换,相当于6个级联系统那么多。

但此时,震网的攻击行动尚未全部展开。

临近2009年底,美国加快了对伊朗核计划施压的步伐。

9月底,纳坦兹离心机数量正在下滑之中,奥巴马总统在“联合国安理会核不扩散和核武军控峰会”上宣布,在伊朗发现了一个新的秘密铀浓缩设施。这个设施位于库姆圣城(holy city of Qom)30公里外的一个军事基地之内,深藏于福尔多(Fordow)山下150英尺处。

该设施的规模远小于纳坦兹,设计容量为3000台离心机,还不到纳坦兹47000台的零头。但这已经足够生产出每年制造一枚核弹的浓缩铀了。“伊朗拥有和平利用核能,满足人民能源需求的正当权利。但福尔多铀浓缩工厂的规模与配置似乎并不是用于和平目的的。”奥巴马在发言中说道。

伊朗人告诉IAEA总干事巴拉迪,这是纳坦兹的后备工厂,由于纳坦兹面临军事打击的威胁,他们才不得不未雨绸缪。新的铀浓缩工厂仍在建设之中,预计将在2011年完工。但根据美国情报部门的消息,该设施早在2002至2004年间的某个时刻就已破土动工。这意味着,IAEA核查人员在去往纳坦兹的路上,曾多次路过这个铀浓缩工厂,却分别不知道它的存在。奥巴马知道此事的时间是2009年1月,当时他在白宫做就职演说前的准备工作。而情报部门至少在2007年就知道了。当时,伊朗国民卫队司令叛变后告诉CIA,伊朗正在境内某处建造第二个秘密铀浓缩工厂。之后,美国通过卫星侦察,找到了福尔多工厂的地址。

640.webp (7)

福尔多(Fordow)铀浓缩工厂地址

福尔多铀浓缩工厂虽然比纳坦兹规模小,但实际上却比纳坦兹更加危险。因为,纳坦兹无时无刻不在IAEA的监控之下,伊朗人很难把纳坦兹的铀原料转移出去,并把它浓缩为武器级铀化物。但像福尔多工厂这样的秘密设施,却可以在IAEA不知情的情况下,生产武器级浓缩铀。这才是真正令人担忧的。

福尔多工厂的另一个令人担忧之处,是它建造在厚达100多英尺的坚固岩石下面,因此,就连目前最先进的集束炸弹和美国正在研制的新一代炸弹,都对它无计可施。

英国首相戈登·布朗在回应福尔多铀浓缩工厂的新闻时表示,伊朗核计划是“当前国际社会所面临的最紧迫的核扩散挑战。”他说,面对伊朗“多年来一系列欺骗行为”,国际社会除了“给伊朗戴上紧箍咒”之外,别无选择。

然而,伊朗官员似乎并未受到福尔多曝光的干扰。AEOI主席阿扎加德挑战似的宣称,他们打算在未来10年内再建造10个铀浓缩工厂,向未来的多所大型核电站供应浓缩铀燃料。而且,这些浓缩铀工厂都将建在大山深处,以抵御外部攻击。

获悉福尔多工厂之后,以色列更加坚定了对伊朗核计划采取行动的决心。11月,在特拉维夫(Tel Aviv)的一场会议上,以色列军方领导对美国官员说,2010年将是与伊朗摊牌的“关键之年”。如果他们不迅速动手,伊朗人就会进一步加固他们的核设施,到时候再想打,就更困难了。美国方面则秘密承诺以色列,一旦新一代集束炸弹从工厂下线,会立即将其运往以色列。但是,要拿到这批货,还得等上6个月。

2010年1月,一家隶属于伊朗军方的秘密核能研究机构FEDAT被媒体曝光,紧张态势进一步升级。据称,该机构的领导人是德黑兰伊玛目•侯赛因(Imam Hossein)大学教授穆赫辛•法克里萨德(Mohsen Fakhrizadeh)。2月份,IAEA表示,已经得到了有关伊朗研制核武器“具有显著一致性和可信性”的证据。“这条消息表明,伊朗曾经或正在实施着某个不为人知的导弹核弹头研发工程。而这引发了各界的强烈忧虑。”

此外,以“缓解各方对伊朗不断增长的低纯度浓缩铀库存的忧虑”为目标的谈判也陷入了破裂。多年来,伊朗一再声称需要用铀化物为德黑兰的研究性反应堆提供燃料棒,以开展癌症病理学与肿瘤治疗研究,但美国等西方国家始终在怀疑,这些铀化物可能会被进一步浓缩至武器级。为了解开这个疑团,2009年中,一名白宫的顾问想出了一个高明的计策。这是一个和解建议,其内容是,让伊朗将绝大多数低纯度浓缩铀发往俄罗斯和法国,后者帮助伊朗生产燃料棒。那么,伊朗人说反应堆需要多少燃料,就能得到多少燃料。这样一来,伊朗官员肯定会受不了钻空子的诱惑,让俄法两国多生产些燃料,以供自己制造核弹之用。

伊朗官员曾于2009年表示,将认真考虑这项建议。但在2010年1月19日,他们宣布拒绝此建议。而且,他们还说已经开始用纳坦兹生产的部分低纯度浓缩铀,在一个试验工厂中进行进一步浓缩了。在那里,他们将得到用于医学研究用途的纯度近20%的浓缩铀。

6天后,震网团队完成了新一轮攻击的准备工作。

在上任第一年内,奥巴马总统一直密切关注的震网攻击的实施进程。美国在这项行动上押下了巨大的赌注,不过目前来看,反馈回来的都是好消息。实际上,攻击所取得的成效,比预想的还要理想。虽然遭到震网攻击的离心机数量有限,但伊朗人却为了查找问题原因,移除了包括整个级联系统在内的大量设备。这种反应不仅倍增了攻击成效,而且对伊朗核计划起到了进一步的延迟作用。伊朗人至今仍然不知道问题出在控制级联系统的计算机上,因此根本找不到解决问题的出路。值得一提的是,这一切都发生在对伊朗发动军事打击呼声渐强之时。

1月25日,震网攻击者为新版震网中的两个驱动程序文件签发了从台湾瑞昱公司盗取的数字证书。3月1日,代码编译完成。接下来要做的,就是等待时机。

3月20日是伊朗传统新年诺鲁孜节,奥巴马把他在上一个伊朗新年时发出的和平合作倡议又重复了一遍。这一次,他明确提出了伊朗核计划。“美国与国际社会一道,承认伊朗和平利用核能的权利,我们所坚持的,只是希望你们能够恪守其他国家共同遵守的责任。”他说。“我们了解你们胸中对过往的怨气,因为我们也有怨气。但是,我们仍然希望继续前行。我们知道你们反对什么,请告诉我们你们支持什么。”

当他提到伊朗于近期拒绝关于生产铀燃料的和解建议时,声调变得更低沉了。“面对我们伸出的友好之手,伊朗领导人却只是紧握着拳头。”

在演讲之前的几周内,伊朗技术人员挑灯夜战,努力查找问题原因。他们又把A24机房的全部18个级联系统装了回去,并开始将之前从A26机房移除的离心机一一复位。他们还增加了注入仍然处于运行状态的离心机的气体量,想要挽回之前浪费的时间,尽力增加浓缩铀气体的产出。但他们根本不知道,攻击还会卷土重来。

伊朗的传统新年的公共假期为4天,相关庆祝活动则会持续13天。3月23日是公共假期的最后一天,大部分伊朗上班族还在家中与家人和朋友过年,而震网恰恰选在这个时刻发动新一轮攻击。2010年3月版震网的载荷与2009年6月版没有变化,但导弹部分中增加了多个零日漏洞利用程序和其他传播机制,其中就包括最终导致其曝光的.LNK漏洞利用程序。

尽管加了不少花里胡哨的小工具,但攻击者似乎却只为新版本震网选取了一个攻击目标——百坡炯。代码上线的具体时间不详,只知道百坡炯的首位染毒计算机的中招时间是3月23日早上6点左右。百坡炯不仅是2009年攻击的“首位感染者”之一,而且在2010年4月的下一轮攻击中也率先中招。实际上,它是唯一一个在3次攻击中都遭到震网攻击的对象,这表明它作为通往纳坦兹目标计算机的中间渠道,比其他公司具有更大的利用价值。同时,不幸的是,它也成为了伊朗国内外数以千计染毒计算机的发源地。

在接下来的日子里,员工们结束休假返回公司,病毒开始快速传播,首先传遍了百坡炯在伊朗、英国和亚洲其他国家的办公室,之后又感染了这些国家的其他公司……后来,当赛门铁克的研究员分析来自世界各地染毒计算机上的病毒样本时,他们发现数千台染毒计算机的源头都指向百坡炯。

为什么攻击者在这个时间节点,突然增加了指向目标的攻击火力呢?也许,过去两年来他们已经习惯了在纳坦兹计算机中肆意妄为,因而信心膨胀、忘了自己姓啥。但最可能的解释是,前面几个版本的震网都是通过某个接近目标计算机的内部人士和其他什么人带进去的。如果震网攻击者后来失去了这个入口,他们会感觉到有些别扭。因此,他们需要提升病毒的传播能力,以增加病毒到达目标的机会。支持这种解释的一个旁证是,在上一轮攻击中,攻击者在完成代码编译到上线、感染“首位感染者”之间的等待时间,与本轮攻击有所区别。在2009年6月的攻击中,代码编译完成到首台计算机被感染之间,只有12个小时。但在2010年3月的攻击中,代码编译时间是3月1日上午,首台计算机被感染的时间是3月23日。(之后于2010年4月上线的下一个版本,其编译-感染延迟时间也是12天。)2009年攻击短暂的时间间隙表明,攻击者可能有一个内线,或精心挑选了一个不知情的受害者,充当了带毒者的角色。但当攻击者上线震网后续版本时,情况可能发生了变化,他们不得不静待时机,方可将病毒上线。

震网在到处扩散的同时,一直通过指挥控制服务器跟攻击的控制者保持着联系。因此,当震网出状况后,华盛顿应该很快就会有所觉察。很显然,那时,这项已经实施3年之久的华盛顿最高机密行动,突然遇到了暴露的风险。

一个精心设计且长期可控的网络武器,怎么突然之间就掉链子了?一开始,以色列成了千夫所指。据报道,2010年春天,白宫、NSA和以色列“决定来个全垒打”,意思是要对一组多达1000台的离心机发动攻击。这组目标可能是A26机房中的6个级联系统。在上一轮攻击中,震网成功的将A26机房中的级联系统数量由12个减少到6个,这一次他们希望把最后这6个级联系统全部搞定。6个级联系统,每个系统有164台离心机,总数是984台。很明显,为了确保胜利,以色列人插了一脚,在代码中加入了更多零日漏洞利用程序和其他传播机制。据纽约时报记者桑格(David Sanger)报道,知情人士告诉他,一名伊朗科学家先是将自己的笔记本接入了一台染毒的控制系统计算机,之后有把笔记本带回家接入了互联网。借助这台笔记本,他们得到了“震网成功侵入纳坦兹”的消息。但是,这种说法与研究员在代码中找到的证据并不相符。如前所述,每一个震网样本中都包含一个日志文件,上面记录着它感染过的每台计算机的信息。这些文件先是,首位感染者均来自百坡炯和其他3家公司,染毒计算机似乎都是些普通的计算机,而非纳坦兹内部存有Step 7文件或安装西门子软件的编程计算机。退一步考虑,或许有可能,这些染毒笔记本是承包商的资产,只是放在纳坦兹内部供人使用。(因此带了毒进来)然而,桑格还提到,当震网离开目标环境之后,应该可以识别出环境的变化。但各大公司的研究员却从未在任何版本的震网代码中发现过“识别环境变化并防止震网传播至纳坦兹之外”的功能。震网代码中的限制条件只有一个,就是“投下载荷”的地点(满足一系列条件),而非传播的区域。

不过,有一个很重要的问题必须说明,就是负责管理指挥控制服务器的操作人员,的确具有在发现震网传播失控时停止其传播的能力。震网本身具有自毁功能,攻击者可以将它从染毒计算机上移除。当震网四处传播、即将失控时,攻击者将会看到位于印度尼西亚、澳大利亚等地的服务器收到来自染毒计算机的报告,这时,他们可以发出指令,把震网从这些发出报告的计算机上删掉。他们之所以没这么做,只有几种可能的原因。“要么是他们不在乎震网四处传播,要么是震网的传播速度实在太快,超出了他们的预想,因此来不及实施对策。”莫楚说。他认为,传播失控,并非因为攻击者无能。“他们对染毒计算机拥有完全的控制权,我认为他们看着震网大规模爆发却什么都没做,确实有点不可思议。”当震网四处传播的新闻传到了华盛顿之后,华府做出了一个令人的决定:不做阻拦,任其发展。然而,其细节仍然不甚分明。据桑格的线人透露,在3月份之后,至少又有两个新版本的震网上线,其中移除了前一个版本中导致大规模传播的错误(bug)。

4月14日,攻击者完成了另一个版本的编译,但其载荷与3月份的版本几无二致。虽然拥有同样的传播机制,但后者并不像前者那样,传播的既远且广。该版本之后,互联网上再无其他版本的震网出现。

不过也有这种可能:攻击者随后又推出了更新的版本,但由于对它实施了更严密的控制,因此没被任何人发现。相关线索的确存在,ESET公司研究员曾在2010年7月发现过一个可疑的驱动程序文件,上面带有智微公司的数字证书。他们认为,这个文件应与震网有关。但是,如前所述,这个驱动程序文件是单独发现的,没有跟震网的主要文件在一起出现,但是经过分析,研究员仍然认为它可能来自震网的另一个版本。

在2010年4月这一轮攻击中,弗拉德科技继2009年6月之后,再次成为“首位感染者”。震网于4月26日侵入公司,并再次击中了在去年那轮攻击中第一台被感染的计算机。两周后的5月11日,震网感染了据信为卡拉扬电力公司(日志上为Kala)的3台计算机。卡拉扬电力正是反政府组织NCRI发言人阿里雷萨•贾法萨德在2002年揭露纳坦兹的新闻发布会上提到的幌子公司,实际任务是管理纳坦兹工厂和为核计划秘密采购设备部件。百坡炯遭感染的时间更晚些,在5月13日。

值得一提的是,虽然研究员在2010年版震网样本的染毒日志中,并未发现尼达工业集团的名字,但该公司那位曾在西门子用户论坛上发帖的控制系统工程师Behrooz又跑到论坛上来抱怨了。6月2日,他发帖说,(尼达)公司的所有使用Windows系统的计算机,再次遭遇了与去年一样的问题(报错)。

公司的其他工作人员也纷纷顶帖,表示赞同。其中一名用户也说公司所有PC都被感染了,还说他觉得好像只有伊朗才遇到了这个问题。“因为大家可以看到,自从1个多月前开始,论坛上有很多伊朗人都遇到了相同的问题。”他写道。论坛上的讨论一直持续到7月底,其中较为活跃的Behrooz经常会有种挫败感,因此总是会以表示愤怒的表情符(emoticons)作为帖子的结尾。突然,7月24日,他发出了一条消息,说这个谜团已经解开了。他发了一个超链接,指向一篇近期发布的关于震网的新闻,并以三个咧嘴大笑的表情符结尾。但是,要等到几个月之后,Behrooz和其他人才会知道,震网攻击的真正目标到底是何方神圣。

与2009年的攻击不同,外界并不清楚2010年版震网到底对纳坦兹造成了多大影响。桑格在攻击者上线2010年4月版震网后,报道说它对984台离心机造成了“致命的破坏”。如前所述,当时A26机房中只剩下6个级联系统的984台离心机还处于运行状态,但IAEA的报告中并没有说这些离心机停止了运行。9月份,A26机房中仍然有6个运行中的级联系统,还有另外6个级联系统已经安装调试完毕。当然,也有可能是在IAEA的《5月版报告》和《9月版报告》之间,离心机确实遭到了攻击,但之后又恢复了正常或者被替换掉了。还有一种可能,是桑格把两轮攻击的日期搞混了,他所说的大约1000台离心机,不是2010年4月这一轮攻击的成果,而是IAEA在2009年底和2010年初,当纳坦兹技术人员拆卸离心机时,通过监控摄像头拍到的。

2010年6月,伊朗官员以“IAEA向媒体泄露铀浓缩活动相关信息”为由,开始驱逐IAEA核查人员,因此,很难弄清楚纳坦兹在此之后的确切情况。在一封发送于6月3日的信中,伊朗官员警告IAEA说,如果有关核项目的机密信息“以任何形式泄露出去,或到了媒体手上”,就将终结与IAEA的合作。首当其冲的就是取消IAEA核查人员进入核设施的许可。同月,伊朗把威胁变成了现实,借口IAEA《5月版报告》上出现了“错误和不当言论”,从一个包括150名IAEA核查人员的许可名单上划掉了2个人的名字。这份报告中声称,伊朗的部分核设备“不翼而飞”。9月,又有2名核查人员遭禁,原因是他们在IAEA公开发布报告之前,向媒体走漏了消息。

伊朗官方对IAEA的非难,给后者在发布信息方面制造了困难,有关纳坦兹的信息眼看着越来越少。到11月,IAEA干脆在季度报告中砍掉了离心机具体情况方面的内容。代替原来“已安装离心机数量”和“运行中离心机数量”的,是“A24、A26、A28机房中离心机总数”。这个变化,让外界再也无法判断震网对纳坦兹的具体影响了。

我们所知道的是,在2010年7月,离心机的开工率只有45%至66%。ISIS在7月出版的一份报告中首次指出,纳坦兹离心机出现故障的原因可能是“遭人破坏”。彼时,震网已经被曝光出来了,但各路人马在几个月后才最终分析出,震网就是纳坦兹故障的罪魁祸首。

我们还知道,已安装离心机和运行中离心机的数量,在2010年急剧减少。2009年11月,伊朗共安装了8692台离心机,这时纳坦兹最辉煌的时刻。到了2010年5月,安装到位的离心机下降到8528台(其中3936台运行),到了9月小幅回升至8856台(其中3772台运行),11月又掉到8426台(4816台运行)。有可能在2010年一整年里,纳坦兹的离心机持续损毁,即便到了后来他们发现了震网,并确定它就是罪魁祸首之后,情况仍无改观。9月至11月,运行中离心机的数量出现了1000左右的增长,这说明震网的影响受到了削弱。然而,11月时,纳坦兹仍有3600台离心机已安装到位却没有运行。这充分表明至少问题一直没得到圆满解决。很快,11月16日,伊朗官员在赛门铁克发布“震网的功能是破坏变频器”的报告6天后,彻底终止了纳坦兹的铀浓缩活动。而就在这前后,他们还尝试着在机房里新安装了6个级联系统,说明他们可能希望通过更改级联系统的配置,来避免震网弹头的侵袭。

回到华盛顿,关于震网的讨论贯穿了2010年全年。初夏时节,CIA局长莱昂·帕内塔(Leon Panetta)和詹姆斯·卡特莱特将军,共同向总统汇报了震网传播失控的情况。这激起了奥巴马一系列的疑问。有没有迹象表明伊朗人已经发现了震网?如果发现了,那他们是否能判断出它的目标,是否能追踪到它的来源?此外,对于震网可能给纳坦兹以外的染毒计算机造成的连锁反应,他也表现出了担忧。考虑到这些问题,那么,是否应该就此取消这此行动呢?此时,他的幕僚们提醒他,震网病毒式一种精度很高的制导武器,只会将载荷释放到满足一系列特定条件的计算机上;而且,虽然它会因感染其他计算机而对它们产生一些影响,但并不会造成破坏。

640.webp (8)

时任(2010)美国CIA局长,后任国防部长的莱昂•帕内塔(Leon Panetta)

得知“行动仍然基本可控”的答案后,奥巴马镇定的做出了“继续行动”的指示。

考虑到震网的复杂性和它被发现和被破解的超低概率,美国方面的决定在当时看来没什么不对。实际上,虽然赛门铁克等公司在震网曝光后取得了一些破解成果,但并没有撼动震网“不可知性”的根基。所有迹象都指向同一个结论:面对复杂且陌生的震网,信息安全业界在发布了用于探测的病毒特征码之后,不得不就此止步。

但华盛顿没想到,赛门铁克这帮研究员有着坚如磐石的信念,非得把代码中的谜团探个究竟。华盛顿也没想到,世界上居然会有拉尔夫•朗纳这样的二愣子外加大嘴巴,非得把知道的一切一字不落的说个痛快。随着时间的推移,朗纳和赛门铁克发布的信息越来越多,华盛顿和特拉维夫的达官贵人们却束手无策,只能闲坐家中,看着震网谜底的碎片一片一片的被人拼接起来,直到拼出一幅完整的图像。

译者:李云凡

 

知识来源: www.aqniu.com/hotnews/12291.html

阅读:84894 | 评论:0 | 标签:热点 零日漏洞 震网 漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“独家连载 | 零日漏洞:震网病毒全揭秘(第十七章)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词