据推测,火焰于2006年开始研发,2007年上线。那么,在震网攻击伊朗核设施的行动中,火焰发挥了怎样作用?毒区呢?……
第十五章 火焰(接上)
用于支持火焰基础设施和资源同样规模巨大,让研究员们大开眼界。他们在德国、荷兰、瑞士等地共发现了至少80个用作指挥控制服务器的独立域名。攻击者通过这些服务器,控制染毒计算机、收集盗取文档。据推测,攻击者注册如此众多域名的目的,是根据任务和目标属性的不同,对各类目标实施分别管控。
为了注册这些域名,攻击者使用了伊凡·布里克斯(Ivan Blix)、保罗·卡尔查内塔(Paolo Calzaretta)、特瑞安·卢瑟苏(Traian Lucescu)等大量假身份,并通过预付信用卡进行支付,以隐藏其真实身份。卡巴斯基的研究员建了一个槽洞,可获得大约30台服务器的同步数据流。槽洞建好之后,来自伊朗和其他地区的染毒计算机纷纷与之通信,被盗取的文件也不断涌来。但是,由于攻击者对盗取文件进行了加密,研究员们无法看到其中的内容。
之后,卡巴斯基将火焰的特征码加入了本公司杀毒软件的特征库,很快又发现了数百台染毒计算机。不出意外,其中189台来自伊朗,排名第一。另有98台来自巴勒斯坦地区,来自苏丹和叙利亚的各有30台。
正当卡布斯基专注于分析火焰的模块文件时,匈牙利的本恰特给拉伊乌带来了新消息:他收到了一个来自伊朗的可疑文件。自发现毒区时起,卡巴斯基和本恰特就建立了良好的关系和常态化的联络机制。经过比对,拉伊乌团队发现,这个文件正是他们发现的20个模块文件其中之一。同时,赛门铁克也收到了本恰特发出的消息。由此,围绕火焰的破解,赛门铁克与卡巴斯基两家开始了一场竞赛。赛门铁克将该文件特征码加入杀毒软件后,在澳大利亚、匈牙利、黎巴嫩、俄罗斯、阿联酋和香港发现了更多染毒计算机。
最终统计数字显示,火焰病毒共感染了超过1000台计算机,远远超出毒区感染的36台,又远逊于震网感染的10万多台。与震网不同,火焰没有自动传播功能,只有当攻击者发出相应指令时,传播机制才会启动。因此,与震网感染了许多非目标计算机不同,每一台感染火焰的计算机都是攻击者有意选取的。拉伊乌推测,攻击者会根据任务需要,分期分批的选取目标、实施攻击。
火焰的攻击目标类型各异,既有个人、私营公司,也有政府部门和学术机构。但不难看出攻击者的真正兴趣何在。他们列出了一个目标文件类型清单,其中包括Word文档、PPT文档Excel文档,还有和毒区一样的AutoCAD制图文档,以及最显眼的目标——数字证书。
虽然目标清单很长,火焰却不会盗取满足条件的所有文件。它的做法是,从每个目标文件中提取1K大小的文本,将其回传至一个指挥控制服务器,再转移到另一个位置。拉伊乌怀疑,这个位置,是攻击者建立的一个超级计算机,它能对盗取的文本采样数据进行分析,并判定哪些文件值得完整盗取。作为旁证,一年后斯诺登泄露的NSA密档中,有一个名为“涡轮”(TURBINE)的控制工具,其设计功能与拉伊乌设想中的超级计算机高度吻合。(见第12章)
既然火焰的行动部署如此严密,它能长期隐蔽攻击就不足为奇了。最早的火焰样本发现于欧洲的一台计算机,其创建日期是2007年12月。另有一台位于迪拜的计算机,遭受火焰攻击的时间是2008年4月。有些用作指挥控制服务器的域名正是在这个时段注册的。另有一批域名的注册时间是2009年和2010年,但域名注册最集中的时段是2011年,此时震网已经曝光。这意味着,早在曝光之前,火焰已经实施了至少5年的持续攻击而未被发现,并且在震网和毒区的研发和攻击过程中起到了积极作用。
至此,一个由间谍工具和破坏性武器组成的网络武器库渐渐浮出水面。这个武器库的目标不仅是伊朗核计划,还包括更广泛的其他目标。研究人员发现,对于这个武器库而言,共有两个相对独立的开发平台。一个是研制大量间谍工具的火焰平台,另一个是研制毒区的“~D平台”。由于前者比后者更高端、更复杂,因此这两个平台背后,可能是两支平行运作的研发团队。然而,在震网生命周期的不同阶段,这两个平台都发挥了自己的作用。
拉伊乌推测,火焰的研发始于2005或2006年,因为指挥控制服务器上的代码编写日期是2006年12月。他还认定,火焰大约在2007年初基本成型。而最早的毒区注入器样本,编译时间为2007年8月;最早的毒区情报收集器,其编译时间为2008年11月。
拉伊乌确信,在制作震网时,攻击者用火焰充当了震网的“助推器”,而后,又将火焰用到了毒区的开发平台上。他的证据是,震网2009年版本中那个包含Autorun攻击代码和“壁纸漏洞利用程序”的“207号样本”,与火焰主模块的一个早期版本非常相似。由此推断,火焰在2007年已经成为一种可用的侦察工具,而当2009年,攻击方需要编写震网导弹部分时,火焰团队把“207号样本”代码段分享给了震网团队,帮助后者成功制成了震网的导弹部分。当时,震网的载荷部分已经制作就绪,只等导弹部分来配合“发射”了。拉伊乌说,“攻击者可能正面临着迅速推出震网的巨大压力,于是只好把火焰中已经成型的插件拿过来,用到了震网上。”
此后,震网和火焰分道扬镳。火焰团队不断强化其功能,把它打造成了一个大型侦察工具。到了2010年,震网团队打算上线新版本、发动新一轮攻击时,转向了先前用于制作毒区的“~D平台”。那么,他们为什么会转向毒区平台呢?据分析,震网2010年版本的导弹部分,需要用到多个零日漏洞利用程序和额外的传播机制,这些功能比上个版本复杂得多,需要编写更多代码。而“~D平台”的编码方式更简单,有更多小工具可用。这可能就是震网团队转向的原因。
先不论火焰在震网事件中到底扮演了何种角色,它自身的侦察行动在2012年5月8日这一天彻底曝光于世。卡巴斯基和赛门铁克两家公司几乎同时发布了“发现火焰病毒”的声明。消息传出后,攻击者迅速采取了应对措施。在第1条消息发布1小时内,所有与火焰有关的指挥控制服务器都停止了服务,这场长达5年的大规模侦察战役在取得巨大成就之后,瞬间中止了行动。攻击者反应之迅速,不仅让人怀疑,他们已经做好了行动暴露的准备,只等消息公布了。
现在,火焰之舞烟消云散,绕梁余音却不绝于耳。火焰服务器关闭几天后,微软发布了一则声明,宣称在卡巴斯基和赛门铁克公司对火焰攻击研究成果的基础上,发现了一个更严重的情况。(待续)
译者:李云凡
