本頁使用了標題或全文手工轉換

震網

維基百科,自由的百科全書
跳至導覽 跳至搜尋
一個被設計為代表「震網」病毒的標誌。

震網Stuxnet),又稱作超級工廠,是一種Windows平台上的電腦蠕蟲,2010年6月首次被白俄羅斯安全公司VirusBlokAda英語VirusBlokAda發現,其名稱是從程式碼中的關鍵字得來,它的傳播是從2009年6月開始甚至更早,首次大範圍報道的是Brian Krebs的安全網誌。它是首個針對工業控制系統的蠕蟲病毒,[1]利用西門子公司控制系統(SIMATIC WinCC/Step7)存在的漏洞感染數據採集與監控系統(SCADA),[2]能向可程式化邏輯控制器(PLC)寫入程式碼並將程式碼隱藏。[3]

這是有史以來第一個包含PLC Rootkit的電腦蠕蟲,[4]也是已知的第一個以關鍵工業基礎設施為目標的蠕蟲。[5]此外,該蠕蟲的可能目標為伊朗使用西門子控制系統的高價值基礎設施。[6][7]據報道,該蠕蟲病毒可能已感染並破壞了伊朗納坦茲的核設施,[8][9]並最終使伊朗的布殊爾核電站英語Bushehr Nuclear Power Plant推遲啟動。[10]不過西門子公司表示,該蠕蟲事實上並沒有造成任何損害。[11]

賽門鐵克安全響應中心進階主任凱文·霍根(Kevin Hogan)指出,在伊朗約60%的個人電腦被感染,這意味着其目標是當地的工業基礎設施。[12]俄羅斯安全公司卡巴斯基實驗室發佈了一個聲明,認為Stuxnet蠕蟲「是一種十分有效並且可怕的網絡武器原型,這種網絡武器將導致世界上新的軍備競賽,一場網絡軍備競賽時代的到來。」並認為「除非有國家和政府的支援和協助,否則很難發動如此規模的攻擊。」伊朗成為了真實網絡戰的第一個目標。[13][14][15][16]

歷史[編輯]

2010年6月中旬,該病毒首次由安全公司VirusBlokAda發現,其根源可追溯到2009年6月。[3]Stuxnet蠕蟲的最終編譯時間約為2010年2月3日。[17]

2012年,《紐約時報》報導,美國官員承認這個病毒是由美國國家安全域以色列協助下研發,以奧林匹克網絡攻擊行動英語Operation Olympic Games為計劃代號,目的在於阻止伊朗發展核武[18]

活動[編輯]

自動化軟件Step 7與Siemens PLC之間的正常通訊
Step 7與Siemens PLC的通訊被Stuxnet劫持

Stuxnet同時利用微軟和西門子公司產品的7個最新漏洞進行攻擊。這7個漏洞中,MS08-067、MS10-046、MS10-061、MS10-073、MS10-092等5個針對Windows系統(其中MS10-046、MS10-061、MS10-073、MS10-092四個屬於0day漏洞),2個針對西門子SIMATIC WinCC系統。[19][13]

它最初通過感染USB快閃記憶體驅動器傳播,然後攻擊被感染網絡中的其他WinCC電腦。一旦進入系統,它將嘗試使用預設密碼來控制軟件。[3]但是,西門子公司不建議更改預設密碼,因為這「可能會影響工廠運作。」[20]

該蠕蟲病毒的複雜性非常罕見,病毒編寫者需要對工業生產過程和工業基礎設施十分了解。[1][3]利用Windows零日漏洞數量也不同尋常,因為Windows零日漏洞的價值,黑客通常不會浪費到讓一個蠕蟲同時利用四個漏洞。[6]Stuxnet的體積較大,大約有500KB[21]並使用了數種程式語言(包括C語言C++),通常惡意軟件不會這樣做。[1][3]Stuxnet還通過偽裝成RealtekJMicron兩家公司的數碼簽章,以繞過安全產品的檢測並在短期內不被發現。[21][22]它也有能力通過P2P傳播。[21][23]這些功能將需要一個團隊,以及檢查惡意軟件不會使PLC崩潰。在西門子系統維護和故障排除方面擁有多年的經驗的埃里克·拜爾斯(Eric Byres)告訴《連線》,編寫這些程式碼需要很多人工作幾個月,甚至幾年。[21]這樣大費周章的設計,也是該軟件被懷疑有軍事背景的因素。

移除[編輯]

西門子公司已經發佈了一個Stuxnet的檢測和清除工具。西門子建議如果客戶檢測到感染請聯絡客戶支援,並建議客戶安裝微軟的漏洞修補程式並禁用第三方USB裝置。[24]

該蠕蟲病毒可重新編程外部可程式化邏輯控制器(PLC)的能力使得移除過程變得更為複雜。賽門鐵克的Liam O'Murchu警告說僅修復Windows系統可能無法完全解決感染問題,他建議全面檢查PLC。此外據推測,該蠕蟲的不正確移除可導致大量損失。[25]

受影響的國家[編輯]

賽門鐵克的研究表明,截至2010年8月6日,幾個受影響的國家主要有:[26]

國家 受感染的電腦
中國 6,000,000(未經證實)[27][28](10月1日)
伊朗 62,867
印度尼西亞 13,336
印度 6,552
美國 2,913
澳大利亞 2,436
英國 1,038
馬來西亞 1,013
巴基斯坦 993
德國 5 [29](9月)

參見條目[編輯]

參考文獻[編輯]

  1. ^ 1.0 1.1 1.2 Robert McMillan. Siemens: Stuxnet worm hit industrial systems. Computerworld. 16 September 2010 [16 September 2010]. (原始內容存檔於2012年5月25日). 
  2. ^ Iran's Nuclear Agency Trying to Stop Computer Worm. Tehran: Associated Press. 2010-09-25 [2010-09-25]. (原始內容存檔於2010-09-25). 
  3. ^ 3.0 3.1 3.2 3.3 3.4 Gregg Keizer. Is Stuxnet the 'best' malware ever?. Infoworld. 16 September 2010 [16 September 2010]. (原始內容存檔於2012年12月5日). 
  4. ^ Last-minute paper: An indepth look into Stuxnet. Virus Bulletin. 
  5. ^ Stuxnet worm hits Iran nuclear plant staff computers. BBC News. 
  6. ^ 6.0 6.1 Fildes, Jonathan. Stuxnet worm 'targeted high-value Iranian assets'. BBC News. 2010-09-23 [2010-09-23]. 
  7. ^ Stuxnet virus: worm 'could be aimed at high-profile Iranian targets』. The Daily Telegraph. 2010-09-23 [2010-09-28]. 
  8. ^ Ethan Bronner & William J. Broad. In a Computer Worm, a Possible Biblical Clue. NYTimes. 2010-09-29 [2010-10-02]. 
  9. ^ Iran Confirms Stuxnet Damage to Nuclear Facilities. Tikun Olam. 2010-09-25 [2010-09-28]. 
  10. ^ Software smart bomb fired at Iranian nuclear plant: Experts. Economictimes.indiatimes.com. 2010-09-24 [2010-09-28]. 
  11. ^ ComputerWorld. Siemens: Stuxnet worm hit industrial systems. Computerworld. September 14, 2010 [3 October 2010]. 
  12. ^ http://www.reuters.com/article/idUSLDE68N1OI20100924
  13. ^ 13.0 13.1 卡巴斯基實驗室深度分析Stuxnet蠕蟲. Kaspersky Lab. 2010年9月25日 [2010年10月8日]. 
  14. ^ http://news.scotsman.com/world/Iran-39first-victim-of-cyberwar39.6550278.jp
  15. ^ 存檔副本. [2010-10-08]. (原始內容存檔於2010-09-29). 
  16. ^ http://www.mymacaddress.com/iran-first-victim-of-cyberwar/[永久失效連結]
  17. ^ Aleksandr Matrosov, Eugene Rodionov, David Harley, and Juraj Malcho. Stuxnet under the microscope (PDF). [24 September 2010]. (原始內容 (PDF)存檔於2010年10月3日). 
  18. ^ 陳曉莉. 報導:美國政府涉及開發與散布Stuxnet蠕蟲. iThome. [2012-06-04]. (原始內容存檔於2013-07-31). 
  19. ^ 計算機病毒預警:當心U盤傳播Stuxnet病毒. 中國政府網. 2010年9月27日 [2010年10月8日]. 
  20. ^ Tom Espiner. Siemens warns Stuxnet targets of password risk. cnet. 20 July 2010 [17 September 2010]. 
  21. ^ 21.0 21.1 21.2 21.3 Kim Zetter. Blockbuster Worm Aimed for Infrastructure, But No Proof Iran Nukes Were Target. Wired. 2010-09-23 [2010-09-24]. 
  22. ^ Kaspersky Lab provides its insights on Stuxnet worm. Kaspersky Lab. 2010-09-24 [2010-09-27]. 
  23. ^ Liam O Murchu. Stuxnet P2P component. Symantec. 2010-09-17 [2010-09-24]. 
  24. ^ SIMATIC WinCC / SIMATIC PCS 7: Information concerning Malware / Virus / Trojan. Siemens. [24 September 2010]. 
  25. ^ Siemens: Stuxnet Worm Hit Industrial Systems. IDG News. 
  26. ^ Factbox: What is Stuxnet?. [30 September 2010]. 
  27. ^ John Leyden. Stuxnet worm slithers into China, heralds alien invasion. TheRegister. 2010-10-01 [2010-10-02]. 
  28. ^ 西門子曝系統新漏洞中國企業恐受波及, 2011-06-07 每日經濟新聞 經濟參考網
  29. ^ crve. Stuxnet also found at industrial plants in Germany. The H. 2010-09-17 [2010-09-18]. 

外部連結[編輯]