扫街 发表于 2010-10-3 13:55:16

中国工业新危机——超级工业病毒Stuxnet

中国上千家工厂正遭遇一种新的隐蔽威胁。一种名叫“Stuxnet”的超级计算机病毒,开始控制被感染的工厂,并造成生产事故或停工,专家表示,病毒的大规模爆发可能影响中国经济复苏前景。
该病毒专门攻击工业系统中采用西门子公司生产的SIMATIC WinCC监控与数据采集 (SCADA) 系统的设备,病毒目前通过极其隐蔽的技术手法快速传播,同时对感染的工业设备进行重编程,夺取控制权后实现对工业生产关键设备的自毁或破坏。
4Stuxnet”是全球首个能攻击现实世界的病毒。中国大陆目前已经有上千家中国工厂以及一些大型工业行业的龙头企 业已经遭受攻击破坏,但它拒绝透露客户名单。由于中国制造工业广泛采用西门子公司的控制软件系统,因此潜在威胁难以估计。

一位要求隐去姓名的专家表示,根据“Stuxnet”的行为研究发现,其有别于过去的计算机病毒,原因在于,过去的病毒只用于窃取资料或者破坏数据,而“Stuxnet”有着极其严格的攻击目标和行为准则,可能是带有某种政治意图的超级武器。

Stuxnet秘密身世——天生的工业杀手

最早遭受“Stuxnet”攻击并大规模爆发的地区是伊朗。

一份“Stuxnet”病毒感染量统计数据显示,伊朗是“Stuxnet”突然爆发并遭受攻击数量最早最多的国家,由于伊朗是一个相对封闭的国家,对全球的互联网接入有非常严格的措施,数据在统计意义上来说有显著意义证明该病毒的传播性是精心策划的,显然“Stuxnet”在伊朗的发作是有备而来的,它绕过了数层物理安全防范。

伊朗工业部门的信息技术官员马哈茂德•阿勒阿伊曾对伊朗媒体表示,隶属伊朗工业部门的3万台电脑已经被该病毒感染,病毒将许多伊朗工业系统的机密数据传至国外。阿勒阿伊称,这是一场针对伊朗的网络战。

“Stuxnet”这种超级病毒,不仅造成伊朗全国6成以上个人电脑感染了这种病毒,更可能是导致了伊朗核电站推迟发电计划的元凶。

一位工业计算机专家表示,“Stuxnet”的编写者非常精通工业控制过程并予以手术刀式的攻击,从而使得系统自行损坏,这是一般计算机病毒编写者所难以企及的,这表明Stuxnet显然有能力毁灭伊朗制造核能力的关键工业设备。

伊朗布什尔核电站位于伊朗南部港口城市布什尔附近,设计装机容量1000兆瓦。核电站建设项目始于上世纪70年代,在1979年伊朗爆发伊斯兰革命后中断运作。1996年2月,布什尔核电站在俄罗斯的帮助下开始复建。2009年2月底,核电站进入测试运行阶段。

虽然,伊朗核电站的项目经理默罕默德•贾法里此前表示,核电站的主要系统没有受到该病毒影响,只是一些核电站工作人员的个人电脑感染了病毒。但此说法受到广泛怀疑。

德国GSMK公司首席科技官则透露了一份数据,数据显示Stuxnet病毒大约在2009年1月左右大规模感染伊朗国内相关计算机系统,他推测 Stuxnet目标对位于伊朗纳坦兹的铀浓缩工厂以及相关设施发起攻击是大概率事件。而据“维基解密”网站爆料,2009年7月伊朗的纳坦兹铀浓缩工厂曾 发生“严重”核事故,不明技术原因使得伊朗浓缩铀产量离奇下跌。

事件之后,这个由俄罗斯兴建的核电站在今年也突然未能如期运作,原计划2010年8月核电站反应堆计划开始装载核燃料,10月正式发电。令人意外的是,伊 朗当局当时对外宣布由于“酷热天气”原因,核电厂需要押后全面运作。相关专家认为,核电厂显然是因突发性技术问题而延误运作。

以色列记者罗纳•伯格曼曾撰写《与伊朗的秘密战争》一书。伯格曼在书中透露,如果不是美国和以色列方面早已发动了旨在迟滞伊朗核项目的“秘密战争”,否则伊朗的核武研发项目早已实现了突破。

书中列举,以色列曾通过欧洲公司向伊朗出售一些工业变电器,通过某种操控该设备能在瞬间产生数万伏高压电。而在过去几年中,伊朗多处核设施发生供电事故。而以色列新闻网站Ynetnews.com去年曾引述以色列前内阁成员称,牵制伊朗核计划的唯一可行方法,就是利用计算机恶意软件发动网络攻击。

这些事件的揭露和行为最后将“Stuxnet”真正推向了前台。

Stuxnet拥有手术刀式的精确打击能力

Stuxnet病毒的传播和破坏性特征与普通病毒有较大差异。与目前大多数利用互联网传播的病毒不同:Stuxnet主要通过U盘和局域网进行传播,而专门针对西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行自毁性破坏。

它通过对软件重新编程实施攻击,给机器编一个新程序或输入潜伏极大风险的指令。专家指出,病毒能控制关键过程并开启一连串执行程序,最终导致整个系统自我毁灭。

西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统被用来进行钢铁、电力、能源、化工、通信、机场等重要行业的人机交互与监控,一旦攻击成功,则可能造成使用这些企业运行各种异常,造成商业资料失窃、停工停产等严重事故。

由于安装SIMATIC WinCC系统的电脑一般会与互联网物理隔绝,专家表示,病毒开发者特意强化了病毒的U盘、局域网的隐藏传播能力。

该病毒通过伪装RealTek与JMicron两大公司的数字签名能够绕过普通的安全产品监测,利用包括MS10-046、MS10-061、MS08-067等5个最新漏洞进行传播,并利用2个是针对西门子SIMATIC WinCC系统漏洞进行攻击。

企业如果没有针对U盘等可移动设备进行严格管理,导致有人在局域网内使用了带毒U盘,则整个网络都会被感染。美国国家网络安全与通讯整合中心主管迈格克指 出,在受感染的系统里面Stuxnet一旦找到西门子WinCC装置,就能接管西门子设施的关键操作系统,并在十分之一秒里“控制”设备的操作,这显示了 一种“预谋”。

卡巴斯基这家安全公司的研究显示,“Stuxnet”病毒研发者对工业控制系统软件十分精通,采用了多层攻击技术,绝非等闲之辈。由于工业控制系统许多关 键部件源代码被视为商业机密,除非拥有可观的政治力量和资金能力,普通人难以获得这样的研究以及开发能力,他推测认为Stuxnet的出现可能是政府行 为。

历史上在2007年,以色列空军打击叙利亚在建的疑似核设施就启动了类似的攻击方法。后来欧洲工业界的消息人士透露,以色列当时激活了嵌入叙利亚防空雷达 中的关键装置,令雷达关机,为空袭提供了方便。当然美国前美情报官员也曾透露,美国家安全局代号为“8200”的部门暗中协助破坏了叙利亚的防空系统。

德国网络安全研究员拉尔夫•朗纳已经破解了Stuxnet的编码,并将之公布于众。他坚信Stuxnet被设计出来,就是为了寻找工业基础设施并破坏其关键部分。他说,这是一种百分之百直接面向现实世界中工业程序的网络攻击,它绝非所谓的间谍病毒,而是纯粹的破坏病毒。

朗纳表示,Stuxnet病毒的高端性,意味着只有一个“国家”才能把它开发出来。根据我们所掌握的计算机法医方面证据,它的意图很明显,就是执行破坏性 攻击,毁掉大量的内部信息,“这并非某个坐在父母家里的地下室里的骇客能干得出来的,这种攻击的来源指向的是一个国家。Stuxnet很可能已经攻击了它 的目标,只不过我们还没有接到消息而已。”

Stuxnet的下一个目标:中国工业

西门子是中国工业计算机最大的海外供应商之一。由于西门子公司开发的类似系统在中国的多个重要行业如能源、电力、通信、交通等领域应用广泛,就目前的传播速度来看,Stuxnet同样对中国基础工业拥有强大攻击意图。

专家透露,从编写手法上看,此病毒还有很大的改进余地,国内目前许多掌管国民经济命脉的大型企业存在安全制度上的缺失,如果Stuxnet再衍生出同样机制的复杂病毒变种,类似的攻击对中国工业将会产生难以估量的打击,其破坏性不亚于经济危机。

另据新华社参考消息报道,“过去几天该病毒已感染六百万部电脑,影响近一千家工厂及工业设施,对中国的攻击源头服务器可能来自美国”。从目前报道的数据来 看,由于许多采用该系统的企业都在涉及国家命脉的关键行业,因此无法获知准确数据。和讯科技为此连线了一些外围的民用工业领域的公司。

南车集团对和讯科技独家回应表示,集团内部尚未发现类似破坏性攻击,但已经做好了相应的防范措施。而作为汽车基础工业产业链上的杭齿集团也向和讯科技透露,公司的确采用了西门子相关设备,但是执行了严格的安全性措施,目前并未发现类似攻击存在。

此外,西门子在香港的客户港铁、中华电力表示,西门子已联络他们,告知其系统未受影响。但是内地该系统的使用情况,西门子并未公开回应。西门子相关负责人对媒体表示,可以先发送相关采访需求,需要进行研究讨论后再做解释。

西门子的软件漏洞知道Stuxnet在伊朗发生攻击后,才被世人所知,外资公司对工业经济的渗透,绝非西门子一家。这个技术漏洞也对中国国家安全构成史无前例的潜在威胁。
目前Stuxnet在中国对工业基础设备的具体破坏程度尚未获知,但是每个人不得不警惕,这种外资公司主导的渗透于中国工业经济命脉中的项目还有多少,这其中有多少隐藏的杀手恐怕还无人知晓,但是哪怕只有一个爆发,对中国某些领域将会是毁灭性的打击。

qijianhui 发表于 2010-10-4 13:21:07

这才是真正的恐怖主义:funk:

愤怒的小鸟 发表于 2010-10-5 09:52:42

知道中国的命脉掌握在谁手上聊吧。以为拿着大把的美元就很牛啊。真干起来我们就准备用美元去砸死入侵者

螺旋线 发表于 2010-10-5 10:59:48

只能磕头求饶,别无他路。
连DSP里究竟有什么东西都没搞清楚,如何避免?不用!这玩笑有点大了。

春风溜过如烟 发表于 2010-10-5 21:40:21

这个真的有点恐怖~~~{:3_46:}

58083356 发表于 2010-10-6 10:19:31

恐怖主义!
就像当年伊拉克一样,全部买的外国货,真正开打,一下就全部失灵,悲剧啊
页: [1]
查看完整版本: 中国工业新危机——超级工业病毒Stuxnet