7月19日,美国安全软件巨头CrowdStrike的一次软件更新引发史上最大的IT故障,全球数百万台电脑的Windows系统崩溃,航空、银行、医疗、零售等各行各业都受到了影响。
医院推迟了手术,麦当劳无法给客户结账,飞机和地面塔台的沟通遇阻,FlightAware显示全球超过21,000个航班延误,普通人首次见识了网络软件如何突破次元壁垒,对现实世界造成重大影响。
虽然这次事件并非是某个国家级黑客组织或大师级黑客的杰作,但早在十几年前,潘多拉的魔盒就已被打开。
在那次会面中,小布什告诉了奥巴马一个正在进行中的绝密项目---Operation Olympic Games奥林匹克行动。
由该计划诞生的震网病毒(Stuxnet)后来在福布斯杂志评选出的12 款威力惊人的新式武器中登顶榜首。
前任俄罗斯联邦航天局局长德米特里·罗戈津说,掌握震网技术的人,只要他想,就可以轻而易举地再引发一次「切尔诺贝利事件」。
深挖震网的故事,我们发现,在另一个隐蔽的空间里,第三次世界大战可能已经悄然拉开了序幕,那么震网病毒究竟是用来做什么的呢?
纳坦兹是位于伊朗首都德黑兰以南200英里左右的一座历史悠久的小城,人口不到4万,水土肥沃、气候宜人,过去曾是贵族富商们休闲打猎的好去处。
伊朗组织在华盛顿召开的一场记者招待会上,揭露了一个惊人的消息——在伊朗纳坦兹附近的地下,修建有一处戒备森严的铀浓缩设施。
该设施深入地下20米,为了阻止空对地导弹穿透,地下室上面不但有很厚的混凝土层,还有钢板层,一般空袭对它根本不起作用。
而2009年,纳坦兹发生了一系列非常离奇的事件,许多离心机莫名其妙地停止工作,但控制离心机的电脑却显示一切工作正常,伊朗人百思不得其解。
纳坦兹中的离心机型号为IR-1,预期使用寿命10年。过去几年间,IR-1离心机不断地从六氟化铀中提炼高纯度铀。
但IR-1离心机似乎非常脆弱、很容易损坏,每年纳坦兹中的工作人员需要更换10%的离心机。
2009年11月时,纳坦兹大概有8700台离心机,也就是说正常情况下一年需要替换800多台。
但到了2009年12月到2010年1月期间,事情变得更糟糕了,离心机的替换率高得不正常,短短2个月就替换下来了2000台离心机。
几个月后的2010年6月,远在数千公里外的白俄罗斯的一家小型反病毒公司VirusBlockAda的技术专家舍基·乌尔森在检查一台伊朗客户的故障电脑时,发现了一种新型蠕虫病毒。
纳坦兹中离奇故障的离心机、伊朗客户电脑里的蠕虫病毒,这两件看似不搭嘎的事之间其实存在着千丝万缕的联系。
2010年7月12日,乌尔森将这种新型蠕虫病毒的代码发布在一个安全论坛上,安全业界迅速展开了对此病毒的讨论。
微软从病毒代码中提取了2个关键词,合起来给病毒命名为Stuxnet,中文翻译是「震网」病毒。
震网的主文件大得不可思议,足足有500k字节,解压缩后主模块的体积更是增大到了1.18M。而常见的恶意代码文件大小仅为10k到15k之间。
即便是在2008年感染了600万台计算机的怪物级病毒Conficker的大小也不过35k,大于这个量级的恶意文件,通常会包含一块非代码区域,一般是用图片文件来填充的。
但震网病毒中并没有图片文件,也没有无关填充物。也就是说,500k字节扎扎实实,全是精巧的代码,其复杂程度比普通的电脑病毒高出20倍。
一般的电脑病毒都是为了窃取数据或者敲诈勒索而开发的,黑客会想方设法让病毒尽可能广泛的传播,传播得越广,感染的电脑越多,赚得越多。
那么最好的传播途径自然就是互联网了。但震网病毒却不通过互联网传播,而是通过U盘进行摆渡攻击,进而渗入到内部局域网中。
安全专家们发现,震网病毒只对安装有西门子Step 7和WinCC这两款工业控制软件的电脑感兴趣。
这类电脑一般部署在专用的内部局域网中,并与外部互联网实行了物理上的隔离。在感染一台电脑后,震网病毒会首先检测该电脑是否安装了西门子的那两款软件。
如果没有,那震网病毒就会悄悄地隐藏在系统最底层,等待传播给另一台电脑,除此之外,不会做任何进一步动作。这说明震网病毒对普通人的电脑并不感兴趣。
如果发现上面已有旧的震网版本,就会将其清除并用新版本替换掉。一旦被感染的电脑连接到了互联网,震网病毒便会立刻「打电话回家」,家是两个地址分别在丹麦和马来西亚的服务器。
震网病毒会给家里汇报被感染电脑的信息,例如windows版本、内网IP、是否安装了Step 7和WinCC软件等等。
最先发现震网病毒的乌尔森察觉到,将震网病毒注入到电脑上后,在无任何弹窗提示的情况下,病毒的驱动程序文件就完成了自身的安装。
要知道,当时主流的操作系统Windows 7的安全特性要求「当没有安全证书的程序安装时,会弹出提示框」,这意味着震网病毒已经获得了合法数字签名。
后来,乌尔森发现震网病毒的数字签名来自一家名为瑞昱半导体的公司(RealTek Semiconductor,以生产声卡著称)。
数字签名可以被理解为程序的数字护照,有签名的程序就是合法产品。计算机会认为,这类程序是可信的,否则就会出现弹窗提示。
之前,也有黑客尝试在数字签名上做文章,但他们用的都是假的、自己制作的签名文件,很容易被系统识破。
一种可能性是震网背后的开发者黑掉了瑞昱公司开发人员的电脑,然后使用开发人员的电脑及权限,秘密授予了病毒数字签名。
出于安全考虑,很多公司会把它们的密钥和证书保存在不联网的服务器上,或者保存到提供额外安全防护的硬件模块上,但并不是每个公司都会这样做。
震网给自己的行动设定了终止日期:2012年6月24日。每当震网病毒进入一台新的计算机,都会检查计算机上的日期,如果晚于这个日期,病毒就会停下来,放弃感染。
零日漏洞,是黑客世界中最牛的东西之一。「零日」二字指的是指软件开发商有零日,即完全没有时间来修复漏洞。
任何一款软件或者系统都不可能是100%完美的,从发布的那一刻起就存在零日漏洞,但软件开发商和反病毒公司并不知道。
零日漏洞可能会隐藏数天、数月或数年,直到有人发现为止。理想的情况下,安全研究人员或软件开发人员能在黑客之前发现漏洞。
一个的零日漏洞可以在黑市上卖到10万美元以上,而震网病毒足足配置了4个零日漏洞,以对应Windows 2000以来的4个不同操作系统,确保攻击万无一失。
震网病毒的目标软件Step 7和WinCC,都是西门子公司生产的可编程逻辑PLC配套的工业控制系统的一部分。
PLC一般有烤箱那么大,是广泛用于世界各地的小型工业计算机,通常被称为工厂的「大脑」,用来控制机械臂、传送带或装配生产线等等等。
而且只有PLC的型号是S7-315或者S7-417,且系统中的变频器是伟肯公司或法拉罗巴耶利公司生产的、运行频率在807赫兹至1210赫兹之间时,震网病毒才会开始攻击。
期间,病毒只是安静的记录着PLC正常运行状态下的数据,以便在破坏开始后把「正确的数据」发送给管理员看,掩人耳目。
侦查期结束后,震网会把变频器的频率提升至1410赫兹,也就是超频的状态,但攻击只会持续15分钟。然后会把频率调至正常运行范围内的1064赫兹,持续26天,继续记录数据。
26天后,震网会把变频器的频率降低到2赫兹的水平上,持续50分钟,然后再恢复到1064赫兹。
其他型号的离心机的标称频率都和这个数值相去甚远,最重要的是除了伊朗以外,没有其他国家使用IR-1型离心机。
而每当管理员试图查看离心机运行数据时,震网病毒就会把记录好的正确数据呈现给管理员看,让其很难发现问题所在,狡猾至极。
震网病毒原本的设计是定向攻击,也就是不攻击普通人的电脑,但安全专家们拆解代码后发现,在一次版本更新时,黑客不小心将and和or用错了,这才导致病毒感染了普通人电脑的Windows系统,并发起了攻击,导致电脑不断死机重启。
根据反病毒软件供应商赛门铁克的统计,截止到2010年7月20日,至少已有来自数十个国家的38000多台电脑感染了震网病毒。
在这38000台电脑中,有22000台在伊朗,印尼远远的排在第二,有6700台,印度第三,3700台。美国只有不到400台电脑遭感染,其他国家遭感染数量也特别少。
另外,在所有遭感染电脑中中,只有很小一部分安装了西门子公司的特定软件,其中大部分在伊朗,有217台,相比之下美国只有16台。很明显,这是一次针对伊朗某一特定目标的黑客攻击。
2010年11月29日的清晨7点45分,德黑兰南部的阿泰什大街上车流熙攘。40岁的伊朗著名核物理学家马吉德·沙利亚里驾驶着他的标致轿车,挤在长龙般的队伍中艰难前行。
就在车辆驶向一个十字路口时,车的左侧突然冒出一辆摩托车,摩托车主朝沙利亚里的车门上抛下了一个「粘性炸弹」,然后逃之夭夭。
很快,炸弹爆炸,沙利亚里当场殒命,他的妻子和保镖也受了伤。附近沥青路面上被炸出的大坑,诉说着这场光天化日之下的谋杀。
同时,在城市的另一边,52岁的伊朗放射性同位素分离专家法雷多·艾巴西,也在上班途中遭遇了跟踪。
艾巴西当过兵,所以警惕性比沙利亚里高,他迅速跳车逃跑,把同车的妻子也拉下了车。两人虽被受了点伤,但所幸死里逃生。
二战过后,苏联、英国、法国和中国陆续踏过了核武器的门槛,为了遏制核武器疯狂发展的势头,联合国于60年代末发起了《不扩散核武器条约》
条约将世界分成了有核国家和无核国家2大类,规定,如果无核国家承诺放弃发展核武器,并同意IAEA「国际原子能机构」对进行定期核查
以确保用于民用项目的核原料和装备没有挪用于制造武器,那么,有核国家就将帮助其发展民用核项目。
但条约最大的问题在于民用核项目中的很多组件和设备都可以同时用于核武器制造,IAEA「国际原子能机构」又没有对违反约定的国家进行强制性调查和惩戒的权力,这就使监督的有效性大打折扣。
正如诺贝尔物理学奖得主汉尼斯.阿尔文所言,「用于和平目的的原子能与用于武器的原子能本就是一对连体双胞胎。」
伊朗是1968年首批签署《不扩散核武器条约》的国家之一,70年代起,伊朗开始在美、法等国的支持下建造核反应堆和核电站。
一开始国际上也有担忧的声音,担心伊朗的最终目标可能是核武器。但当时美国对此毫无忧虑,他们认为伊朗巴列维国王是他们的朋友,巴列维王朝的根基很稳固,不会有倒台的那一天。
然而,世界上没有永不落幕的王朝。1979年,就在伊朗布什尔第一个核电站接近完工时,伊朗国内爆发了伊斯兰。
分子驱逐了国王,拥戴宗教领袖阿亚图拉.鲁霍拉.霍梅尼上台,而且将布什尔高大的反应堆视为国王与西方勾结的象征。鉴于政局不稳,美国人退出了伊朗的民用核项目。
起初,霍梅尼认为核武器在伊斯兰教看来是不祥的,其暴力手段与伊斯兰基本教义相违背,拒绝了这个提议。
他对联合国不闻不问的态度大为恼火,同时深受「伊拉克即将发展核武器」的传言的震慑,最终决定启动伊朗核计划。
卡迪尔.汗早年曾在荷兰阿姆斯特丹的「物理动力学研究实验室」工作,并利用职务之便,窃取了欧洲国家离心机设计的核心机密,然后把资料带回了巴基斯坦。
利用这些机密资料,卡迪尔.汗使巴基斯坦成为了穆斯林世界唯一的核国家。后来,卡迪尔.汗承认曾为伊朗、利比亚和朝鲜等国提供核技术。
关于帮助伊朗的原因,卡迪尔.汗说,如果伊朗和巴基斯坦都成为有核国家,它们将可以共同对抗以色列在中东地区的强权。
2002年8月,伊朗组织在华盛顿召开的一场记者招待会上,揭露了纳坦兹的机密铀浓缩设施。
2003年2月,时任伊朗总统穆罕默德.哈塔米承认了纳坦兹的存在,并说道,事实上,伊朗正在大力发展核能,纳坦兹只是众多中的一个。
而且哈塔米强调,伊朗发展核能,完全是出于和平目的,还说,一个像伊朗这样,同时拥有崇高宗教信仰和严密行事逻辑的伟大国家,根本不需要什么大规模杀伤性武器。
但是,他并没有解释,如果伊朗并不想掩盖什么,为什么要把纳坦兹工厂埋在深深的地下?如果没有做不正当的事情,为什么要用一层又一层的钢筋混凝土筑起要塞?
从2003年起,美国开始不断指责伊朗有意发展核武器,但伊朗方面则坚持本国拥有和平利用核能的权力。
站在美国的角度,伊朗拥核不仅会对美国形成战略威慑,也可能导致中东各国出现核军备竞赛,让中东成为全球最可能爆发大规模核冲突的地区。
但站在伊朗的角度,面对不断发生的地缘冲突,核武器似乎是确保自身安全的唯一途径。而伊朗发展核武器,比起美国,更着急的其实是以色列。
伊朗伊斯兰后,伊朗和以色列两国间的关系急剧恶化,伊朗拒绝承认以色列国的存在。以色列担心,伊朗真的造出核武器的话,自己会被伊朗从地球上「抹掉」。
《纽约时报》的一篇报道指出,伊朗核问题谈判陷入僵局后,以色列甚至考虑发动常规军事攻击,一个导弹把伊朗纳坦兹给炸了,但美国坚决反对这样的做法,因为这很可能引发大规模战争。
于是,时任美国总统小布什启动了Operation Olympic Games奥林匹克行动,他想要另辟蹊径,用信息技术改变21世纪的战争模式。
拆解震网的代码,安全专家们发现,代码的开发最早可以追溯到2005年,也就是说「奥林匹克行动」在2005年时就已经开始筹备了。
该行动开始于小布什时期,随后在奥巴马任期内被加速推进。《纽约时报》的这篇专题报道直言不讳地指出了震网病毒的操盘手,称震网是以色列和美国发动的一次联合行动,并得到了来自德国和英国的少许帮助和启发。
《纽约时报》称这篇报道是基于对参与了「奥林匹克行动」的官员和专家的采访而写成的,但没有人愿意透露自己的姓名,因为报道发布时,行动仍处于高度机密状态。
在迪莫诺,有关人员构建了包含西门子PLC和IR-1型离心机的试验台,对病毒破坏处于运转态离心机的效果进行了测评。
因为不久后就要进行下一次总统选举了,如果奥巴马连任(确实连任了)或者新总统对此行动仍持积极态度,行动终止日期还可以被延长。
计算机安全公司卡巴斯基实验室后来发现,编写震网程序时,美国方面应该是派出了国安局NSA下属的黑客组织Equation Group。
因为被曝光的另一款Equation Group编写的恶意软件(GrayFish)使用了后来用在震网中的两个零日漏洞。
当然了,美国和以色列官方从来没有承认过「奥林匹克行动」的存在,也没有承认过震网病毒是他们的杰作。
既然震网病毒的原本设计是定向攻击,那么就需要一个能接触纳坦兹或者工程师的人,把病毒植入到工程师的电脑、U盘或者局域网内,否则病毒设计的再完美也无法发挥效力。
震网病毒被发现后的很长一段时间里,人们都不知道这个关键人物究竟是谁,直到2024年1月,在多年的调查后,荷兰《》公布了此人的身份:荷兰间谍埃里克.范.萨本。
美国CIA、NSA和以色列摩萨德都有很多出色的特工,但他们的身份都太扎眼了,没有一个可以靠近纳坦兹而不引起怀疑的,于是美、以向荷兰情报与安全总局AIVD求助。
埃里克.范.萨本出生于荷兰弗利辛恩,大学毕业后,搬到了迪拜,在位于迪拜的一家荷兰跨国重型设备货运公司做工程师,这家公司与伊朗之间有频繁的业务往来。
埃里克后来还娶了一位伊朗老婆。在多年的工作中,埃里克在伊朗积攒了强大的人脉和社会关系,是理想的间谍人选。
2007年,伊朗纳坦兹通过埃里克所在公司进购了一批水泵,埃里克利用职务之便,顺利进入纳坦兹,并将震网病毒植入了一台控制水泵的计算机内。
然而,任务完成之后,留给埃里克的时间也不多了。2008年末,埃里克请了10天的假,和妻子一起到伊朗首都德黑兰探亲。
据埃里克的妻子后来所说,假期即将结束时,埃里克似乎陷入了恐慌的情绪当中,不停地说着,要赶快回迪拜。
埃里克的家人们当时都不知道,他有着特工的身份。2009年1月16日,埃里克在迪拜自家附近死于一起可疑的摩托车事故。
警方调查后称,这起事故就是个意外,但一位不愿透露姓名的AIVD官员对荷兰媒体表示,这是埃里克付出的代价。埃里克究竟是被美、以卸磨杀驴了,还是被伊朗恶意报复了,无人知晓。
有意思的是,荷兰《》的这篇报道特别指出了,多名荷兰情报人员表示,荷兰情报与安全总局AIVD并不了解美以的具体计划,荷兰政府更是被蒙在鼓里,他们是被利用了。
鉴于震网病毒在纳坦兹里的扩散程度,要清除所有计算机设备中的病毒将相当费时费力。2010年11月,伊朗一度全面暂停了纳坦兹的铀浓缩生产。
2013年8月,七名有伊朗政府背景的黑客对位于美国纽约市郊的鲍曼水坝的网络发起了DDoS攻击。
鲍曼大坝位于纽约市以北不到20英里的地方,靠近全球人口最稠密的区域,而且是美国电网的一部分。不过这场攻击及时被美国安全部门拦截了下来,并未给美国造成实际的损失。
2014年,伊朗黑客攻击了拉斯维加斯金沙赌场的网络系统,致使赌场服务器瘫痪,给赌场造成了140亿美元的损失。
2016 年 3 月,美国司法部起诉了那7名攻击鲍曼水坝网络的伊朗黑客,并指控他们在2011年至2013年间对46家美国境内的机构发起过网络攻击
半个月后的7月13日,作为还击,伊朗卫队信息战部队成功突破了美国信息战部队的围堵,闯入了纽约市三十多个变电站的控制中心,实施了网络攻击,导致纽约全城大约停电4个小时。
同年10月,有伊朗政府背景的黑客组织又发起了名为Phosphorus 的攻击,试图入侵美国总统候选人、政府官员和媒体记者的邮件账户。
总之,震网事件成功打开了潘多拉的魔盒,开辟了一块传争以外的新战场,各国间的信息战愈演愈烈。
而发明了震网的奥林匹克行动具体包含了什么、如今是否已被终止,还没完全被披露出来。不过,已知的另一点是,除了震网病毒,另一种被称为「火焰」的病毒也是计划的一部分。
2012年4月,伊朗石油部和伊朗国家石油公司的电脑中发现了这种比震网还要强大的病毒,它能清除每一台染毒电脑上的所有硬盘数据。
具体攻击步骤是这样的:先删除文档和数据,再删除系统文件,最后摧毁硬盘的核心部分,造成不可逆转的损毁。
卡巴斯基实验室拿到了一个染毒的硬盘,继而开始拆解火焰病毒的代码。令他们感到惊讶的是,该病毒的大小居然有20M,代码长达65万行。
还有的模块利用染毒电脑的蓝牙功能,自动搜寻可与之连接的智能手机或其他蓝牙设备,再盗取手机或设备上的数据。
卡巴斯基实验室初步判断,「火焰」病毒应该是一款多用途的间谍工具。它不会在每个目标上使用它的全部代码,而是按需部署。
在大部分行动中,首先载入目标计算机的是一个大小为6M的「抢滩部队」,其中包含一个后门。攻击者可以利用这个后门,随时通过指挥控务器,在目标电脑上安装新的间谍工具模块。
2010年5月,当震网在全世界的计算机上疯狂传播、几近失控时,美国五角大楼整合了各军种从事网络攻防的部门,组建了「美军网络司令部」。
比起常规作战,信息战更隐蔽、更难以侦查、难以取证。投下一枚导弹,至少攻击目标是有范围的,可网络武器一旦上线,路径和后果都更难以预测。
就像《原子能科学家公报》执行主编柏南迪曾说的「网络武器的第一次军事化运用,是为了阻止核武器的扩散。可讽刺的是,为了终结前一个大规模杀伤性武器的时代,我们又开启了另一个新的大规模杀伤性武器的时代。」