伊核风云：Stuxnet第一个真正的网络武器

前言

这两天美国总统特朗普悍然退出了伊核协定，这是一个相当重大的决定。这将使得中东的混乱会进一步加剧。伊朗和朝鲜的区别对待，导致伊朗即使当了内裤也会搞出原子弹，伊核问题会更加难看。

伊朗的故事真是多的说不完，而且跟各个大国之间都有千丝万缕的联系，比如伊朗的核武器地下网络，比如第一次twitter革命，比如第一个网络武器Stuxnet。在伊核危机重新浮现的今天，我们回顾一下伊核危机中成功阻止伊朗核计划近两年的震网病毒 Stuxnet。

异常的基地

2006年，伊朗违背协议重启核计划，在纳坦兹核工厂安装大批离心机，进行浓缩铀的生产，为进一步制造核武器准备原料。

2006年7月，联合国要求伊朗停止铀浓缩计划。伊朗拒绝。

2006年12月，联合国对伊朗进行制裁。伊朗已经被制裁惯了。

2007年3月，联合国增加制裁对象。

2008年9月，联合国再次重申前面的制裁。

伊朗人早已习惯了制裁。军事打击则几乎不可能，当时美国深陷阿富汗和伊拉克两大泥潭，无力再发动第三场战争。只要浓缩铀做好，按照买来的图纸安装好，二踢脚也有了！所以关键，在于尽快搞定浓缩铀！

2009年，纳坦兹核基地频繁地更换离心机。

2010年初，联合国负责核查伊朗核设施的国际原子能机构（IAEA）开始注意到，纳坦兹铀浓缩工厂有点异常：浓缩铀工厂的核心部件离心机确实大批量损坏，故障率奇高无比。

伊朗铀浓缩基地卫星图片

在纳坦兹，离心机型号为IR-1，预期使用寿命10年。但似乎它们很脆弱、很容易损坏。即使是正常情况下，伊朗都会由于原料不达标、维护问题和工人操作错误等原因，每年更换10%的离心机。2009年11月，纳坦兹大概有8700台离心机，也就是说正常情况下一年替换800台。但是2009年12月份更换的离心机数异常的高。

IR-1 离心机

IAEA官方并未公布报废离心机的具体数量。2010年10月退休的前IAEA官员、监察部门副主管海诺宁说，“凭我的经验推测，大约有2000台。”

离心机的故障率居高不下，核武器所急需的浓缩铀迟迟生产不出来。技术人员反复检查，却找不出任何故障原因，离心机出厂时明明是质量合格，一旦投入运行，却马上就会磨损破坏。

伊朗的核技术是通过地下核技术网络从巴基斯坦手里买来的。当然巴基斯坦的技术从哪来的，嘿嘿嘿。(从后来二五仔利比亚的卡扎菲作为投名状交给欧美的技术材料中可见一斑，说明文档是东亚某大国文字）。巴基斯坦没发生过那么高的离心机故障率。

很明显，伊朗自己的铀浓缩设备出问题了！

键的浓缩铀卡住了，总统内贾德坐不住了

上图为伊朗总统网站所发布的图片，内贾德总统视察纳坦兹核工厂，从总统到工程师，每个人的脸上都写满了忧心忡忡。

然而这张图不经意地验证了核工厂的问题，左下方的屏幕所显示的那群绿点，每一个点都代表一台离心机，绿色代表运行正常，绿色丛中的两个灰色小点，则说明有两台离心机出了故障。

伊朗人，一头雾水，根本搞不明白哪儿出了问题。

神秘恶意代码

2010年6月：白俄罗斯的一家安全公司VirusBlokAda受邀为一些伊朗客户检查系统，调查他们电脑的死机和重启问题。技术人员在客户电脑中发现了一种新的蠕虫病毒。根据病毒代码中出现的特征字“stux”，新病毒被命名为“震网病毒（stuxnet）”，并加入到公共病毒库，公布给业界人士研究。

VirusBlokAda反病毒部门的负责人Sergey Ulasen

随着研究的发现，发现这个病毒非同寻常。更多的研究人员参与进来了，其中就包括赛门铁克，卡巴斯基，微软都对着病毒进行了非常深入的研究。

微软关于这个病毒分析的报告

起初，研究人员以为，这不过是千万种流行病毒中的一种。世界上每天都有新病毒产生，大部分都是青少年的恶作剧，少部分则是黑产工具，也许震网病毒也许只是其中之一。但进一步的深入研究却让他们瞠口结舌：震网的复杂度远远出乎人们的意料，它是当时所发现的最精妙、最复杂的病毒，没有之一。

网上有个讲座视频，(https://www.youtube.com/watch?v=rOwMW6agpTI) ，从微软安全团队的角度讲述如何抽丝剥茧，层层分析这个病毒的（主讲人是个华裔，啥都好，就是FXXX太多了）。当然微软没有正式发布这个分析报告，赛门铁克发表了非常详细的病毒分析报告(后台发送震网 获取报告全文）。

虽然当时出来的版本没有这么长，没有这么细致，但是给出来的信息非常吓人：

• 这个病毒用了4个zero day （零日漏洞）
• 这个病毒居然针对西门子工控PLC
• 这个病毒貌似只针对伊朗
• 这个病毒代码比较大超过1M，但是设计的非常精密。
  
  
  
  

昂贵的代码

用简单通俗易懂的语言解释一下这些信息的含义：

Zero Day：“零日漏洞”（zero-day exploits），是黑客世界中非常少见非常贵的东西。因为这种漏洞是软件公司和反病毒公司尚未发现的——这意味着根本没有补丁，而且这种漏洞通常都是远程可执行代码，或者直接提升到管理员的漏洞。

市场是最公正的，Zero Day Bug是可以在黑市上卖的，Stuxnet中的Zero Day 漏洞都是25万美元以上的起价的。就是说，这个病毒光这几个漏洞就价值超过一百万美元！

最新漏洞价格表

现在主要是移动端，所以移动客户端和手机的漏洞价格比较高。最高的是IOS的无点击利用漏洞150万美元，微信可利用安全漏洞也值50万美元！

而Stuxnet一个病毒中居然有4个零日漏洞，太奢侈了！另外一方面可见病毒的开发者对于攻击目标怀有志在必得的决心，因此才会同时用上多个零日漏洞，确保一击必杀!

就这一点表明这不是普通黑客干的事情！

攻击目标居然工控系统PLC

而且随着研究的深入，发现这个代码针对的是西门子的PLC工控控制系统。西门的step7在工控领域中使用非常广泛。PLC如果失控，火车脱轨，工厂爆炸，电场停电，工业自动化变成一动不动。

于从事安全行业的人来说，发现攻击PLC的病毒极为罕见。因为工控系统通常都是与外网隔离的，而且很难有测试条件。因为你要写病毒，那么病毒编写者必须要有一套这样的设备，才能知道他们代码管不管用。而一套PLC以及设备，这又是一笔大钱。一般人和组织是根本出不起这个钱的。

而这个病毒对PLC的攻击非常狡猾：

基本原理就是让离心机工作在异常状态，又不让操作人员发现，而且要等伊朗的工作人员把核材料都装载完毕，工作了一段时间以后，再来使坏。破坏手段主要是通过改变转子的转速。利用过程压力和转子的转速两种方法能够实现增加转子的内壁压力，从而使离心机损坏。而外面的监控设备，因为病毒的原因，没有觉察到离心机转速的异常。如果不是最新版本的病毒出了问题，逃逸到公网上面，伊朗人抓破脑袋都不知道自己的PLC系统被人黑了。

震网病毒貌似只针对伊朗

这是赛门铁克报告中感染病毒主机的国家分布图，伊朗遥遥领先

超级复杂的工程

代码分析人员在分析的过程中对病毒编写者充满了敬意，真是一件艺术品。这个病毒和传统互联网病毒不太一样，因为传统的互联网病毒都是通过互联网传播控制的，上次的勒索wannacry病毒因为一个地址被flip了，就失效了。震网病毒需要入侵的是高度设防的核设施，与外网完全物理隔绝。感染的途径只是U盘等移动设备。你要想办法感染移动U盘，最后能七拐八拐能攻击到离心机，并且让离心机正常地“失灵”，想想就是一个mission impossible！

然而他做到了，震网开发团队里不仅有软件和网络专家，还有工业控制和核武器的专家，并且通过某种秘密途径，他们还事先掌握了纳坦兹的设计图纸。它背后的力量绝不是一般网络犯罪组织可以比拟的。

震网病毒的攻击方式也非常狡猾。当它渗透进入核工厂，它本可以制造一起轻易的工业灾难，一举摧毁整个工厂。但它却没有马上发作，而是悄悄地潜伏下来，每隔一个月才攻击一次。攻击期间，它会首先修改西门子工控系统的数据，让离心机看上去运转正常。但背地里，它却大幅提高离心机的转速，迫使其在临界速度以上运转，从而迅速毁坏一台离心机，然后又潜伏下来，等待下一次袭击。

这是一种非常高明的战术，它使得伊朗人疲于奔命。崭新的离心机装进工厂，没用多久便告损坏，一直无法大规模生产，纳坦兹核工厂始终无法形成稳定的浓缩铀生产能力。伊朗人更换了数批工程师，却一直排查不出问题的根本原因，震网病毒的隐蔽性太强。他们让伊朗从来没有意识到他们的工厂早已被病毒入侵，只是一味地认定是离心机有质量问题。一方面不敢开足马力生产离心机（有问题的离心机生产了也是废品），一方面由于不断地损害离心机，无法形成产能。由于震网病毒，至少迟滞了伊朗核计划一年半到两年时间！

一个病毒把伊朗人锁死在浓缩铀外面两年！是不是跟三体里面的质子很像呢？

谁干的呢？

地球人都怀疑以色列的摩萨德和美国人联手干的，但是一直没有直接证据。直到2012年，一位美国退休官员才向《纽约时报》透露，针对伊朗核工厂的攻击，是由布什总统发起的、经过奥巴马总统大力推动的、一场精心策划的网络战争。因为2010年的版本出现了一个小bug导致这个病毒逃逸到互联网上，从而被研究人员发现，从而曝光于世！

沙发 2018-5-11 08:57 评论(0) 收起评论

评论

2006年，伊朗重启核计划的时候,感到最愤怒的是以色列，因为当时伊朗总统内贾德是一位老愤青，他在集会上声称要把以色列从地图上抹掉。伊朗重启核计划，必然会把目标对准以色列。以色列一再表态，要像1981年空袭伊拉克核反应堆一样，也对纳坦兹核工厂来一场外科手术式的打击，将伊朗核计划消灭在萌芽状态。

而2006年前后的美国也很尴尬：

美军已经占领了伊拉克，却迟迟找不到传说中的大规模杀伤性武器，小布什在国内国际都处于被动局面，没有足够的政治能量再次以消灭核武器之名发动一场伊朗战争。

但如果不解决伊朗核问题，又无法对以色列交待。如果任由以色列空袭伊朗，这无疑又将搅乱中东局势，使地区纷争进一步升级，当地的反美情绪也会更加狂热化。因此，当时的美国夹在以色列和伊朗之间左右为难。

这个时候，CIA给了一个建议，搞点新花样。CIA拉上了摩萨德一起搞，以安抚以色列不要空袭。以色列人态度很积极，顺手还把纳坦兹的工厂图纸交给了CIA（伊朗核工厂的图纸也是偷法国的）。摩萨德加上CIA，有钱，有能力搞出这个超级病毒。甚至还建了一个模拟工厂的车间反复测试，确保放出去后万无一失。显然顶级团队出来的作品，无可挑剔，这个代码潜伏在伊朗的核设施里长达五年时间，使得伊朗到最后也没有搞出足够的浓缩铀进行核试验。

不得不说一下，实际的执行者应该是前CIA将军 Michael Hayden 。此人在安全社区里非常活跃，而且此人是美国网络战最主要的推动者，网络部队组建者。看任期，看背景Stuxnet 应该就是出自他的手。但是直到今天没有人正式承认或者否认这是谁干的，因为即便是现在stuxnet的威力还在。

结语

因为篇幅原因，没有详细介绍stuxnet的其他细节，比如他的数字签名是从台湾偷来的，怎么偷来的？stuxnet 的几个版本之间的关系，stuxnet的变形，stuxnet到底是怎么从U盘进入核设施的电脑网络，stuxnet怎么又泄漏到公网上去了，stuxnet和朝核之间的关系等等，全写出来就成书了。

另外围绕着伊核问题，各种故事扑朔迷离，一条线涉及了 摩萨德暗杀伊朗核科学家，摧毁巴基斯坦地下核技术网络，伊朗和谈计划，奥巴马空运现金给伊朗，另外一条线是伊朗的推特革命等等，中兴卖墙，中兴反被卧底，中美贸易战等等一系列故事。即便如此HBO正在筹备一个以stuxnet为背景的美剧，应该很精彩。现实比美剧精彩多了。

以stuxnet为背景，去年出了一个纪录片叫《Zero Day》，强烈推荐！

板凳 2018-5-11 08:58 评论(0) 收起评论

评论

Stuxnet标志着病毒变成了一种武器，从普通互联网，进入了更深的工业控制领域，可以在无形之间摧毁一个严密设防的核设施。这也意味着在stuxnet之后交通，民航，工厂，电厂都有被人攻击的危险。Stuxnet这打破了很多人的固有想法，比如网络物理隔离就可以安全了。

中国在2011年工信部发文，加强对PLC的安全防范

然而效果有限，去年因为《黑客组织：特朗普请不要忘本！》shadowbroker 把偷来的网络武器库在网上公开后。价值不菲的Zero Day病毒，并用来做出勒索病毒。完全隔离的公安内网，被攻破。也就是理论上，黑客可以查到任何人的开房记录（瑟瑟发抖）

去年公安内网被勒索病毒攻破

因为特朗普退出伊核协议，伊朗必然会提前重启核计划。这次的问题就麻烦多了，伊朗很难会再次吃震网病毒的亏。毕竟伊朗自2009年之后也组建了强大的网络部队(伊朗网军拿百度练手，渣渣的百度被伊朗网军黑了5个小时)。剩下的选择就是以色列的军事打击了，拭目以待了。

地板 2018-5-11 08:58 评论(0) 收起评论

评论