伊朗核危机背后的病毒战

原标题:伊朗核危机背后的病毒战

自5月13日以来,借助微软的MS17-010漏洞,WannaCry病毒对全世界众多电脑造成了巨大影响,许多公共服务机构、政府部门和高校由于身处局域网内,成为重灾区,致使许多公共服务瘫痪。虽然WannaCry病毒并非专门针对这些公共服务机构、政府部门和高校展开攻击,只是恰好这些公共服务机构、政府部门和高校所处的缺乏安全意识和保护措施的局域网恰好放大了WannaCry病毒的威力。但是几年前,就有一场指向性的网络攻击,那就是震网病毒对伊朗核设施的攻击。

这种攻击核设施的病毒被命名为Stuxnet病毒,也被称为震网病毒,主要对工厂中的西门子自动化生产与控制系统进行攻击,被看作是第一个以现实世界中的关键工业基础设施为目标的计算机蠕虫病毒。

震网病毒利用了微软公司的4个windows操作系统漏洞,2个西门子公司的SIMATIC Wincc系统漏洞和2个有效的数字证书,通过一套完整的入侵和传播流程,突破工业专用局域网的物理限制,攻击用于数据采集与监控的工业控制系统。伊朗政府已经确认该国的布什尔核电站遭到震网病毒的攻击。

据介绍,震网病毒在感染了伊朗的IR-1型离心机后,会将正常运行速度从1064Hz增加到1410Hz,并在15分钟后回到正常频率,从而造成离心机的损坏。伊朗核计划当局认为震网病毒破坏了约1000台离心机,并对伊朗核计划造成了阻碍。而震网病毒虽然蔓延到了世界各国,但是伊朗却是大多数震网病毒攻击的目标。根据著名计算机安全厂商Symantec初步研究,近60%的感染发生在伊朗,伊朗大约3万个互联网终端以及布什尔核电站员工个人电脑在去年遭 震网蠕虫病毒感染,其次为印尼(约20%)和印度(约10%), 阿塞拜疆、美国与巴基斯坦等地亦有小量个案。

2011年10月,又一个名为Duqu的木马病毒被发现。Duqu木马病毒主要作用是采集和回传数据,看似平常,但是采用的技术手段和许多实现手法上和Stuxnet病毒非常相似。这些相似之处说明了Stuxnet病毒和Duqu木马极有可能是同一个人或者团队所为。虽然Stuxnet病毒首先被发现,其后才发现Duqu木马,但是,Duqu木马却极有可能是先于Stuxnet病毒存在。因为Duqu木马的目的正在于搜集数据而非破坏。

2012年3月20日,Symantec还宣布发现了最新的Duqu木马的变种――火焰木马病毒。火焰木马感染了系统启动之后,会先对被感染系统进行勘察,如果不是其想要的攻击对象,它将会自动从被感染系统卸载掉。一旦电脑系统被感染,病毒将开始一系列复杂的行动,包括监测网络流量、获取截屏画面、记录音频对话、截获键盘输入等。被感染系统中所有的数据都能通过链接传到病毒指定的服务器,让操控者一目了然。

这几种病毒主要是通过U盘和局域网进行传播,由于安装SIMATIC WinCC系统的电脑一般会与互联网物理隔绝,因此黑客特意强化了病毒的U盘传播能力。如果企业没有针对U盘等可移动设备进行严格管理,导致有人在局域网内使用了带毒U盘,则整个网络都会被感染。换句话说,如果某国出现了极少的这一系列病毒,还可以解释为偶尔有人使用的U盘带入了病毒。那么,对于伊朗的大面积爆发,很可能就是有专人携带带毒优盘到伊朗相关系统中刻意传播的结果。这种传播方式,已经充分说明了不是一个简单的病毒系列,已经是一种由某些势力实施,针对伊朗的网络攻击手段了,而目标,正是伊朗的核计划。

有消息称,震网病毒、Duqu木马和火焰木马病毒均来自美国国家安全局旗下的“方程式小组”,而制作WannaCry病毒的黑客工具最初也是源出于“方程式小组”,充分体现了美国一直在看不见的赛博战场上动作频频。

这次WannaCry病毒导致国内众多高校、政府部门和事业单位遭受的严重损失,再次给我们敲响了警钟。信息战场上的较量随时都在发生,和平时期更是一种可以随意使用的攻击武器,未雨绸缪,加强重要设施的网络防护,提高从业人员的信息安全意识,是摆在任何一个大国面前的课题。返回搜狐,查看更多

责任编辑:

声明:该文观点仅代表作者本人,搜狐号系信息发布平台,搜狐仅提供信息存储空间服务。
阅读 ()
免费获取
今日搜狐热点
今日推荐